小说阅读网免费小说,好看的课外书

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

現(xiàn)已修復(fù)！阿里云SQL數(shù)據(jù)庫曝兩個(gè)關(guān)鍵漏洞

現(xiàn)近日，The Hacker News 網(wǎng)站披露，阿里云 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreQL 數(shù)據(jù)庫爆出兩個(gè)關(guān)鍵漏洞。潛在攻擊者能夠利用這兩個(gè)漏洞破壞租戶隔離保護(hù)，訪問其它客戶的敏感數(shù)據(jù)。

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括嘉魚網(wǎng)站建設(shè)、嘉魚網(wǎng)站制作、嘉魚網(wǎng)頁制作以及嘉魚網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，嘉魚網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到嘉魚省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

云安全公司 Wiz 在與 The Hacker News 分享的一份報(bào)告中表示，這兩個(gè)漏洞可能允許未經(jīng)授權(quán)的攻擊者訪問阿里云客戶的 PostgreSQL 數(shù)據(jù)庫，并對兩個(gè)數(shù)據(jù)庫服務(wù)進(jìn)行供應(yīng)鏈攻擊，從而導(dǎo)致對阿里巴巴數(shù)據(jù)庫服務(wù)的 RCE。

值得一提的是，早在 2022 年 12 月阿里云就收到了漏洞報(bào)告，并于 2023 年 4 月 12 日部署了緩解措施，此外沒有證據(jù)表明這些漏洞已經(jīng)被野外被利用了。

據(jù)悉，這不是第一次在云服務(wù)中發(fā)現(xiàn) PostgreSQL 漏洞，其它云服務(wù)廠商與曾出現(xiàn)過。去年，Wiz 在其他多家頭部云廠商中也發(fā)現(xiàn)了類似問題。

攻擊者利用漏洞可訪問其它用戶數(shù)據(jù)

從 Wiz 研究人員透漏出的信息來看，一旦潛在攻擊者成功利用 AnalyticDB 的權(quán)限升級(jí)漏洞和 ApsaraDB RDS 的遠(yuǎn)程代碼執(zhí)行漏洞后，便可在容器中提升權(quán)限至 root，“逃到”底層的 Kubernetes 節(jié)點(diǎn)，并最終獲得對 API 服務(wù)器的未授權(quán)訪問。

不僅如此，獲得上述權(quán)限后，攻擊者可以從 API 服務(wù)器中檢索與容器注冊表相關(guān)的憑據(jù)，并推送惡意映像，以控制屬于共享節(jié)點(diǎn)上其它租戶的客戶數(shù)據(jù)庫。

據(jù)悉，這不是第一次在云服務(wù)中發(fā)現(xiàn) PostgreSQL 漏洞，其它云服務(wù)廠商與曾出現(xiàn)過。去年，Wiz 在 Azure Database for PostgreSQL Flexible Server（ExtraReplica）和 IBM Cloud Databases for PostgreQL（Hell’s Keychain）中發(fā)現(xiàn)了類似問題。

近幾年，網(wǎng)絡(luò)犯罪分子頻頻盯上云服務(wù)，從 Palo Alto Networks Unit 42 發(fā)布的《云威脅報(bào)告》的內(nèi)容來看，威脅攻擊者目前非常善于利用錯(cuò)誤配置、弱憑證、缺乏認(rèn)證、未修補(bǔ)的漏洞和惡意的開放源碼軟件（OSS）包等云服務(wù)常見問題。

然而在如此危險(xiǎn)的網(wǎng)絡(luò)環(huán)境下，76% 的組織沒有對控制臺(tái)用戶執(zhí)行 MFA 多因素認(rèn)證，58% 的組織沒有對根/管理員用戶執(zhí)行 MFA。

新聞標(biāo)題：現(xiàn)已修復(fù)！阿里云SQL數(shù)據(jù)庫曝兩個(gè)關(guān)鍵漏洞
文章地址：http://fisionsoft.com.cn/article/cddsjep.html

新聞中心

攻擊者利用漏洞可訪問其它用戶數(shù)據(jù)

其他資訊