0
0
Exploração do bug pode permitir que um operador de ameaças execute códigos remotamente nos ambientes dos clientes e até mesmo leia ou modifique dados armazenados no banco de dados PostgreSQL
A IBM corrigiu uma vulnerabilidade de segurança de alta gravidade que afeta seu produto Cloud Databases (ICD) para PostgreSQL, que pode ser potencialmente explorada para adulterar repositórios internos e executar código não autorizado.
A falha de escalonamento de privilégios, com escore de 8.8 no sistema de pontuação comum de vulnerabilidades (CVSS), foi apelidada de “Hell’s Keychain” pela empresa de segurança em nuvem Wiz e descrita como um “vetor de ataque à cadeia de suprimentos inédito que afeta a infraestrutura de um provedor de nuvem”.
A exploração bem-sucedida do bug pode permitir que um operador de ameaças execute códigos remotamente nos ambientes dos clientes e até mesmo leia ou modifique dados armazenados no banco de dados PostgreSQL.
“A vulnerabilidade consiste em uma cadeia de três segredos expostos (token de conta de serviço Kubernetes, senha de registro de contêiner privado, credenciais de servidor CI/CD) juntamente com acesso de rede excessivamente permissivo a servidores internos de compilação”, disseram os pesquisadores da Wiz, Ronen Shustin e Shir Tamari.
O Hell’s Keychain começa com uma falha de injeção de SQL no ICD que concede privilégios de superusuário (também conhecido como “ibm”) ao invasor, que é então usado para executar comandos arbitrários na máquina virtual subjacente que hospeda o banco de dados.
Esse recurso é desenvolvido para acessar um arquivo de token da API do Kubernetes, permitindo situações de pós-exploração mais amplas que envolvem extrair imagens do registro de contêiner privado da IBM, que armazena imagens relacionadas ao ICD para PostgreSQL, e digitalizar essas imagens em busca de segredos adicionais.
A Wiz disse que foi capaz de extrair o repositório interno de artefatos e as credenciais de FTP (File Transfer Protocol) dos arquivos de imagem, permitindo efetivamente o acesso irrestrito de leitura e gravação a repositórios confiáveis e servidores IBM.
Um ataque desse tipo pode ter ramificações graves, pois permite que o invasor sobrescreva arquivos arbitrários usados no processo de construção da imagem PostgreSQL, que seria então instalada em todas as instâncias do banco de dados.
A gigante americana de tecnologia disse em um comunicado que todas as instâncias do IBM Cloud Databases for PostgreSQL foram potencialmente impactadas pelo bug, mas observou que não encontrou nenhuma evidência de atividade maliciosa. A IBM afirma ainda que as correções foram aplicadas automaticamente às instâncias do cliente e que nenhuma outra ação é necessária. As mitigações foram lançadas em 22 de agosto e 3 de setembro deste ano. Com agências de notícias internacionais.
FONTE: CISO ADVISOR