PostgreSQL do Alibaba Cloud com falhas críticas

PostgreSQL do Alibaba Cloud com falhas críticas

Duas falhas críticas foi divulgada no ApsaraDB RDS para PostgreSQL e no AnalyticDB para PostgreSQL da Alibaba Cloud, que podem ser exploradas para violar as proteções de isolamento de usuários e acessar dados confidenciais pertencentes a outros clientes.

A empresa de segurança em nuvem Wiz em um novo relatório compartilhado comentou “As vulnerabilidades permitiram potencialmente acesso não autorizado aos bancos de dados PostgreSQL dos clientes do Alibaba Cloud e a capacidade de realizar um ataque à cadeia de suprimentos em ambos os serviços de banco de dados do Alibaba, levando a um RCE nos serviços de banco de dados do Alibaba”.

Os problemas, chamados de BrokenSesame, foram relatados ao Alibaba Cloud em dezembro de 2022, após a implementação de mitigações pela empresa em 12 de abril de 2023. Não há evidências de que as vulnerabilidades foram exploradas por hackers criminosos.

Sabendo da vulnerabilidade, um invasor pode recuperar credenciais associadas ao registro de contêiner do servidor API e enviar uma imagem maliciosa para obter controle de bancos de dados de clientes pertencentes a outros contas no nó compartilhado.

Esta não é a primeira vez que vulnerabilidades do PostgreSQL são identificadas em serviços em nuvem. No ano passado, Wiz descobriu problemas semelhantes no Banco de Dados do Azure para PostgreSQL Flexible Server ( ExtraReplica ) e no IBM Cloud Databases para PostgreSQL ( Hell’s Keychain ).