![Google Cloud’un Cloud SQL Hizmetindeki Ciddi Kusur Gizli Verileri Açığa Çıkardı](https://kilalu.blog/news/2024-07-11-16:40/Google Cloud’un Cloud SQL Hizmetindeki Ciddi Kusur Gizli Verileri Açığa Çıkardı.jpg)
26 Mayıs 2023Ravie LakshmananVeri Güvenliği / Bulut Güvenliği
Google Cloud Platform’un (GCP) Cloud SQL hizmetinde, gizli verilere erişim elde etmek için potansiyel olarak istismar edilebilecek yeni bir güvenlik açığı açıklandı.
İsrail bulutu, “Güvenlik açığı, kötü niyetli bir aktörün temel bir Cloud SQL kullanıcısından bir kapsayıcıdaki tam teşekküllü bir sistem yöneticisine yükselmesine ve müşteri verilerine ek olarak sırlar, hassas dosyalar, şifreler gibi dahili GCP verilerine erişmesine olanak sağlayabilirdi.” güvenlik firması Dig söz konusu.
Bulut SQL bulut tabanlı uygulamalar için MySQL, PostgreSQL ve SQL Server veritabanları oluşturmaya yönelik tam olarak yönetilen bir çözümdür.
Özetle Dig tarafından tanımlanan çok aşamalı saldırı zinciri, bir kullanıcının ayrıcalıklarını bir yönetici rolüne yükseltmek için bulut platformunun SQL Server ile ilişkili güvenlik katmanındaki bir boşluktan yararlandı.
Daha sonra yükseltilmiş izinler, sistem yöneticisi haklarını elde etmek ve veritabanı sunucusunun tam kontrolünü ele geçirmek için başka bir kritik yanlış yapılandırmanın kötüye kullanılmasını mümkün kıldı.
![Bulut SQL Bulut SQL](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2023/05/1685120899_802_Google-Cloudun-Cloud-SQL-Hizmetindeki-Ciddi-Kusur-Gizli-Verileri-Aciga.jpg)
Oradan, bir tehdit aktörü temeldeki işletim sisteminde barındırılan tüm dosyalara erişebilir, dosyaları numaralandırabilir ve daha sonra başka saldırılar için bir fırlatma rampası görevi görebilecek parolaları çıkarabilir.
Dig araştırmacıları Ofir Balassiano ve Ofir Shaty, “Sırlar, URL’ler ve parolalar gibi dahili verilere erişim elde etmek, bulut sağlayıcılarının verilerinin ve müşterilerin hassas verilerinin açığa çıkmasına neden olabilir, bu da büyük bir güvenlik olayıdır.”
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Şubat 2023’teki sorumlu açıklamanın ardından, sorun Google tarafından Nisan 2023’te ele alındı.
Açıklama Google olarak geliyor ilan edildi Otomatik Sertifika Yönetim Ortamının kullanılabilirliği (ACME) Tüm Google Cloud kullanıcılarının TLS sertifikalarını ücretsiz olarak otomatik olarak almasına ve yenilemesine yönelik API.
Popular Articles
- 17 Jul Suriyeye Bayram Gelmedi
- 20 Jul Rihanna Yeni Saç Modeliyle Akıllara Yalan Dünya Gülistanı Getirince Espriler Havada Uçuştu!
- 24 Jul 23 Nisan’da Törenlere Katılamasak da Bayram Sevincini Yaşatacak 12 Hediye Fikri
- 22 Jul Son dakika! Kış ani geldi: Meteoroloji’den ardı ardına uyarılar! - Son Dakika Haberler
- 27 Jul Bu yüzden güncellemeleri göz ardı etmemek en iyisidir.
Latest Articles
- 25 Jun Dünya Sağlık Örgütü: Türkiye Sağlık Bakanlığı’ndan Açıklama Bekliyoruz
- 31 Jul İstanbul Depreminden Yeni Bilgiler: 30 Milyonu Etkileyecek, 8 Yıl İçinde Olma İhtimali Çok Yüksek
- 31 Jul Microsoft Launcherın Birçok Yeni Özelliği Barındıran 5.1 Güncellemesi Yayınlandı
- 31 Jul Bilim İnsanları Örümceklerin Nasıl Uçabildiğini Açıkladı
- 25 Jul Bilim İnsanları Grafeni Su Geçirmez Hale Getirmeyi Başardılar