HackerNews网站披露,IBM近期修复了一个影响其PostgreSQL云数据库(ICD)产品的高危安全漏洞(CVSS评分:8.8)。存储库并运行未经授权的代码。云安全公司Wiz将该漏洞称为“Hell'sKeychain”,一旦恶意攻击者成功利用该漏洞,它可能能够在客户环境中远程执行代码,甚至读取或修改存储在PostgreSQL数据库中的数据。根据Wiz研究人员RonenShustin和ShirTamari的说法,该漏洞包括三个暴露的秘密Kubernetes服务帐户令牌、私有容器注册表密码、CI/CD服务器凭据,以及对内部构建服务器的过度许可网络访问。Hell'sKeychain始于ICD中的SQL注入漏洞,该漏洞可能已授予攻击者超级用户(又名“ibm”)特权,然后允许他们在托管数据库实例的底层虚拟机上执行任意命令。据报道,该功能被武器化以访问KubernetesAPI令牌文件,允许进行更广泛的后期开发工作,包括从IBM的私有容器注册表中提取容器映像,该注册表存储与ICDforPostgreSQL相关的图像,并扫描这些图像以获取其他秘密。研究人员强调,容器镜像通常包含公司知识产权的专有源代码和二进制工件,此外,它们还可能包含攻击者可以利用这些信息来发现其他漏洞并在服务内部环境中执行横向移动的信息。Wiz表示它能够从图像清单文件中提取内部工件存储库和FTP凭据,从而有效地允许不受限制地读写访问受信任的存储库和IBM构建服务器。这种攻击会覆盖PostgreSQL映像构建过程中使用的任意文件,然后安装在每个数据库实例上,从而产生严重后果。IBM在另一份公告中表示,所有用于PostgreSQL实例的IBM云数据库都可能受到该漏洞的影响,但目前尚未检测到恶意活动的迹象,修复已于8月22日和2022年9月实施。推出3日,并且已自动应用于客户实例,无需采取进一步操作。研究人员表示,这些漏洞可能会被恶意行为者作为广泛攻击链的一部分加以利用,最终导致对平台的供应链攻击。为了减轻此类威胁,建议组织监控其云环境以获取分散的凭据,实施网络控制以防止访问生产服务器,并防止容器注册表损坏。参考文章:https://thehackernews.com/2022/12/researchers-disclose-supply-chain-flaw.html
