PostgreSQL için IBM Cloud veritabanlarındaki bir güvenlik açığı, saldırganların dahili IBM Cloud hizmetlerini ihlal ederek ve barındırılan sistemin dahili görüntü oluşturma sürecini kesintiye uğratarak bulut müşterilerine yönelik bir tedarik zinciri saldırısı başlatmasına izin verebilirdi.
Wiz’den güvenlik araştırmacıları, “Cehennemin Anahtar Zinciri” adını verdikleri açığı keşfettiler. Araştırmacılar, 1 Aralık’ta yayınlanan bir blog gönderisinde, dahili yapı sunucularına aşırı izin veren ağ erişimiyle eşleştirilmiş üç açığa çıkmış sır zincirini içerdiğini ortaya çıkardı.
Wiz CTO’su Ami Luttwak, Dark Reading’e şu anda yama uygulanmış olsa da güvenlik açığı, bir bulut hizmeti sağlayıcısının (CSP) altyapısını etkileyen nadir bir tedarik zinciri saldırı vektörünü temsil etmesi açısından önemli. Keşif ayrıca, Microsoft Azure ve Google Cloud Platform dahil olmak üzere çoğu bulut satıcısını etkileyen bir PostgreSQL güvenlik açığı sınıfını da ortaya çıkarır.
“Bu, türünün ilk örneği bir tedarik zinciri saldırı vektörü ve saldırganların tüm bulut ortamını ele geçirmek için oluşturma sürecindeki hatalardan nasıl yararlanabileceğini gösteriyor” diyor.
Luttwak, özellikle, araştırmacıların “konteyner görüntülerinden derleme sırlarının uygunsuz şekilde temizlenmesinden kaynaklanan ve bir saldırganın merkezi kapsayıcı görüntü deposuna yazma erişimi kazanmasına olanak tanıyan büyük riski” ortaya çıkardığını söylüyor. Bu, aktörün müşterilerin ortamlarında kötü amaçlı kod çalıştırmasına ve veritabanında depolanan verileri değiştirmesine izin verirdi.
Araştırmacılar, “PostgreSQL motorunda yapılan değişiklikler, hizmette etkili bir şekilde yeni güvenlik açıkları ortaya çıkardı” diye yazdı. onların gönderisi. “Bu güvenlik açıkları, platformda bir tedarik zinciri saldırısıyla sonuçlanan kapsamlı bir istismar zincirinin parçası olarak kötü niyetli bir aktör tarafından kullanılmış olabilir.”
Araştırmacılar, belirtildiği gibi, IBM Cloud’u ihlal etmek için PostgreSQL kullanma yeteneğinin hizmet sağlayıcıya özgü olmadığını söyledi. Wiz, yakında ifşa etmeyi planladıkları ve kurumsal müşteriler için tedarik zinciri tehdidi oluşturan daha geniş bir bulut yanlış yapılandırma sorununu vurgulayan diğer CSP ortamlarında benzer güvenlik açıkları buldu.
Luttwak, kusurun varlığının, sırların veya bulut API’leri veya diğer kurumsal sistemler için uzun ömürlü kimlik doğrulama belirteçlerinin uygun olmayan şekilde yönetilmesinin, bir bulut sağlayıcısı kullanan bir kuruluşta saldırganlar tarafından istenmeyen izinsiz girişlere yönelik yüksek bir risk oluşturabileceğini de vurguluyor.
“Açığa çıkan sırları bulmak ve kullanmak, bulut ortamlarında yanal hareket için 1 numaralı yöntemdir” diyor.
Şimdilik araştırmacılar, IBM Cloud’daki sorunu çözmek için IBM ile birlikte çalıştıklarını ve herhangi bir müşteri hafifletme eylemi gerekmediğini söylediler.
Zinciri Ortaya Çıkarmak
Araştırmacılar, “süper kullanıcı” olmak için ayrıcalıkları artırıp artıramayacaklarını öğrenmek için IBM Cloud’un hizmet olarak PostgreSQL’inin tipik bir denetimini yapıyorlardı; Buradan.
Deneyimlerine dayanarak, bir CSP’ye tedarik zinciri saldırısı gerçekleştirme yeteneğinin iki temel faktörde yattığını söylediler: yasak bağlantı ve anahtarlık.
Araştırmacılar, “Yasak bağlantı, ağ erişimini temsil ediyor – özellikle, bir üretim ortamı ile onun yapı ortamı arasındaki bağlantıdır” diye yazdı. “Öte yandan anahtarlık, saldırganın hedef ortam boyunca bulduğu bir veya daha fazla dağınık sırrın toplanmasını sembolize ediyor.”
Her iki senaryo da kendi başına “hijyenik değildir” ancak kritik derecede tehlikeli değildir. Ancak araştırmacılar, “bir araya geldiklerinde ölümcül bir bileşik oluşturuyorlar” dedi.
Hell’s Keychain’in üç özel sırrı vardı: bir Kubernetes hizmet hesabı belirteci, özel bir kapsayıcı kayıt defteri parolası ve sürekli entegrasyon ve dağıtım (CI/CD) sunucu kimlik bilgileri.
Araştırmacılar, bu zinciri Wiz’in kişisel PostgreSQL eşgörünümü ile IBM Cloud veritabanlarının yapı ortamı arasındaki sözde yasak bağlantıyla birleştirmenin, araştırmacıların IBM Cloud’un dahili yapı sunucularına girmelerine ve yapıtlarını manipüle etmelerine izin verdiğini söyledi.
Bulut Güvenliği İçin Çıkarımlar
Araştırmacılar, Hell’s Keychain’de sunulan senaryonun, bulut güvenlik topluluğu içinde dikkat ve iyileştirme gerektiren daha geniş bir sorunu temsil ettiğini söyledi. Bir kuruluş için büyük bir risk oluşturan, hizmet bütünlüğünü ve kiracı izolasyonunu bozan, bulut ortamlarında bulunan dağınık düz metin kimlik bilgileri olduğunu söylediler.
Luttwak, bu nedenle, CI/CD, kod deposu, kapsayıcı kayıtları ve bulut içinde dahil olmak üzere boru hattının tüm aşamalarında gizli taramanın çok önemli olduğunu söylüyor.
“Ayrıca, ayrıcalıklı kimlik bilgilerinin konteyner kayıt defterine kilitlenmesi çok önemlidir, çünkü bu kimlik bilgileri genellikle göz ardı edilir, ancak aslında krallığın anahtarlarıdır” diye ekliyor.
Luttwak, CSP müşterilerinin, bu tür saldırıların tamamen önlenmesini sağlamak için kabul denetleyicileri aracılığıyla görüntü imzalama doğrulamasını da dikkate almaları gerektiğini söylüyor.
Hell’s Keychain ayrıca, bulut içinde kapsayıcı yönetimi için popüler Kubernetes API’sinin kullanımındaki yaygın bir yanlış yapılandırmanın altını çiziyor — pod erişimi, “bu, “sınırsız kap kaydı teşhirine yol açabilir” diyor.
Araştırmacıların önerdiği diğer bir en iyi uygulama, CSP veya başka türlü bir bulut ortamı dağıtan herhangi bir kuruluşun alabileceği, internete bakan ortam ile kuruluşun üretim ortamındaki dahili ağı arasında katı ağ denetimleri uygulamaktır, böylece saldırganlar daha derin bir etki elde edemezler. ihlal etmeyi başarırlarsa dayanak noktası ve ısrarı sürdürün.