阿里云數據庫曝出兩個嚴重漏洞|黑入iPhone僅需一條iMessage消息！

阿里云數據庫曝出兩個嚴重漏洞

美國云安全公司Wiz發現一組阿里云數據庫漏洞，可用于突破租戶隔離保護機制，訪問其他客戶的敏感數據。

注：本文報道的漏洞已得到修復或緩解。

安全內參4月21日消息，阿里云數據庫ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一組兩個嚴重漏洞，可用于突破租戶隔離保護機制，訪問其他客戶的敏感數據。

美國云安全公司Wiz發布報告稱，“這些漏洞可能允許對阿里云客戶的PostgreSQL數據庫進行未經授權訪問，并對阿里巴巴的這兩項數據庫服務開展供應鏈攻擊，從而實現對阿里巴巴數據庫服務的遠程命令執行（RCE）攻擊。”

這組漏洞被命名為BrokenSesame，在2022年12月被上報給阿里巴巴，阿里云于2023年4月12日部署了緩解措施。尚無證據表明這些漏洞曾遭到野外利用。

簡而言之，此次發現的漏洞分別為AnalyticDB權限提升漏洞和ApsaraDB RDS遠程代碼執行漏洞，能夠在容器內將權限提升為root，逃逸至底層Kubernetes節點，最終實現對API服務器的未授權訪問。

利用這條利用鏈，惡意黑客能夠從API服務器中檢索到與容器注冊表相關的憑證，推送惡意鏡像以控制共享節點上屬于其他租戶的客戶數據庫。

Wiz公司研究員Ronen SHustin與Shir Tamari表示，“用于拉取鏡像的憑證未被正確限定范圍且允許推送權限，這為供應鏈攻擊埋下了隱患。”

這已經不是第一次在云服務中發現PostgreSQL漏洞。去年，Wiz公司曾在微軟Azure Database for PostgreSQL Flexible Server和IBM Cloud Databases for PostgreSQL中發現過類似的問題。

Palo Alto Networks安全研究團隊Unit 42在云威脅報告中表示，“惡意黑客越來越善于利用云上的常見安全問題”，包括錯誤配置、憑證強度過低、缺乏身份驗證、未修復漏洞和惡意開源軟件包等。

“76%的組織未能對控制臺用戶實施多因素身份驗證（MFA），58%的組織未能對具有root/admin權限的用戶實施多因素身份驗證。”

黑入iPhone僅需一條iMessage消息！多起NSO“零點擊”攻擊曝光；

近日Citizen Lab發現，臭名昭著的黑客組織NSO Group在2022年，針對iPhone用戶發起了多次“零點擊”攻擊，研究黑入iPhone的方法。

根據Citizen Lab公布的信息，NSO的零點擊共計不需要用戶的交互和點擊，僅需向用戶的iPhone發送一條iMessage消息即可。

依靠系統漏洞，即便用戶并沒有打開該iMessage消息，攻擊者也能夠遠程訪問iPhone內容。

值得慶幸的是，Citizen Lab在公開前就已經向蘋果提供了調查結果，這使得蘋果在今年2月發布的iOS 16.3.1版本更新中，修復了這一漏洞。

只要更新了新的系統，用戶就不需要擔心自己設備的信息在神不知鬼不覺間被竊取。