The Hacker News 網(wǎng)站披露，IBM 近日修復(fù)一個(gè)影響其 PostgreSQL 云數(shù)據(jù)庫（ICD）產(chǎn)品的高嚴(yán)重性安全漏洞（CVSS分?jǐn)?shù)：8.8），該漏洞可能被利用來篡改內(nèi)部存儲庫并運(yùn)行未經(jīng)授權(quán)的代碼。

云安全公司 Wiz 將該漏洞稱為“Hell's Keychain ”，一旦惡意攻擊者成功利用該漏洞可能會(huì)在客戶環(huán)境中遠(yuǎn)程執(zhí)行代碼，甚至讀取或修改存儲在 PostgreSQL 數(shù)據(jù)庫中的數(shù)據(jù)。

Wiz 研究人員 Ronen Shustin 和 Shir Tamari 表示：該漏洞由三個(gè)暴露的秘密 Kubernetes 服務(wù)帳戶令牌、私有容器注冊密碼、CI/CD 服務(wù)器憑據(jù)組成，再加上對內(nèi)部構(gòu)建服務(wù)器的過度許可網(wǎng)絡(luò)訪問。

Hell's Keychain 始于 ICD 中的一個(gè) SQL 注入漏洞，該漏洞可能授予攻擊者超級用戶（又稱 "ibm"）權(quán)限，然后允許其在托管數(shù)據(jù)庫實(shí)例的底層虛擬機(jī)上執(zhí)行任意命令。

據(jù)悉，這個(gè)功能被武器化以期訪問 Kubernetes API 令牌文件，從而允許更廣泛的開發(fā)后工作，包括從 IBM 的私有容器注冊表中提取容器圖像，該注冊表存儲與用于PostgreSQL 的 ICD 相關(guān)的圖像，并掃描這些圖像以獲取其他機(jī)密。

研究人員強(qiáng)調(diào)，容器圖像通常包含公司知識產(chǎn)權(quán)的專有源代碼和二進(jìn)制工件，此外，它們還可以包含攻擊者可以利用的信息，以發(fā)現(xiàn)其他漏洞并在服務(wù)的內(nèi)部環(huán)境中執(zhí)行橫向移動(dòng)。

Wiz 表示，它能夠從圖像清單文件中提取內(nèi)部工件存儲庫和 FTP 憑證，有效地允許對受信任的存儲庫和 IBM 構(gòu)建服務(wù)器進(jìn)行不受限制的讀寫訪問。

這種攻擊能夠覆蓋到 PostgreSQL 映像構(gòu)建過程中使用的任意文件，然后將這些文件安裝在每個(gè)數(shù)據(jù)庫實(shí)例上，因此可能會(huì)產(chǎn)生嚴(yán)重后果。

IBM 在一份獨(dú)立的咨詢報(bào)告中表示，所有用于 PostgreSQL 實(shí)例的 IBM 云數(shù)據(jù)庫都可能受到該 漏洞的影響，但目前還沒有發(fā)現(xiàn)惡意活動(dòng)的跡象，修補(bǔ)措施于 2022 年 8 月 22 日和 9 月 3 日推出，已自動(dòng)應(yīng)用于客戶實(shí)例，無需進(jìn)一步操作。

研究人員表示：作為廣泛攻擊鏈的一部分，這些漏洞可能被惡意攻擊者利用，最終導(dǎo)致對平臺的供應(yīng)鏈攻擊。 為了減輕此類威脅，建議組織監(jiān)控其云環(huán)境中分散的憑據(jù)，強(qiáng)制實(shí)施網(wǎng)絡(luò)控制以防止訪問生產(chǎn)服務(wù)器，并防止容器注冊表損壞。

參考文章：https://thehackernews.com/2022/12/researchers-disclose-supply-chain-flaw.html