阿里云SQL 数据库曝两个重要漏洞

最近 The Hackers News 发布了一份报告，阿里云 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreQL 数据库爆出两个关键漏洞。潜在攻击者能够利用这两个漏洞破坏租户隔离保护，访问其它客户的敏感数据。

云安全公司 Wiz 在与 The Hacker News 分享的一份报告中表示，这两个漏洞可能允许未经授权的攻击者访问阿里云客户的 PostgreSQL 数据库，并对两个数据库服务进行供应链攻击，从而导致对阿里巴巴数据库服务的 RCE。

从 Wiz 研究人员透漏出的信息来看，一旦潜在攻击者成功利用 AnalyticDB 的权限升级漏洞和 ApsaraDB RDS 的远程代码执行漏洞后，便可在容器中提升权限至 root，“逃到”底层的 Kubernetes 节点，并最终能够获得对 API 管理服务器的未授权访问。

据悉，这不是第一次在云服务中发现 PostgreSQL 漏洞，其它云服务厂商也曾出现过。去年，Wiz 在 Azure Database for PostgreSQL Flexible Server（ExtraReplica）和 IBM Cloud Databases for PostgreQL（Hell’s Keychain）中发现了类似问题。

然而在如此危险的网络环境下，76%的组织没有对控制台用户执行MFA 多因素认证，58% 的组织没有对根/管理员用户执行 MFA。尽管这些数据表明，大多数企业都在努力提高安全性，但仍有一些问题需要解决。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!