研究人员披露影响IBM云数据库PostgreSQL的供应链缺陷

IBM已修复了一个影响其PostgreSQL云数据库（ICD）产品的高严重性安全漏洞，该漏洞可能被利用来篡改内部存储库并运行未经授权的代码。

特权升级缺陷（CVSS评分：8.8），被称为“地狱的钥匙扣云安全公司Wiz将其描述为“影响云提供商基础设施的第一类供应链攻击向量”。"

成功利用该漏洞可能会使恶意行为者在客户环境中远程执行代码，甚至读取或修改存储在PostgreSQL数据库中的数据。

Wiz研究人员Ronen Shustin和Shir Tamari表示：“该漏洞由三个暴露的秘密（Kubernetes服务帐户令牌、私有容器注册密码、CI/CD服务器凭据）组成，加上对内部构建服务器的过度许可网络访问”。

Hell的Keychain从ICD中的一个SQL注入漏洞开始，该漏洞授予攻击者超级用户（又名“ibm”）权限，然后用于在托管数据库实例的底层虚拟机上执行任意命令。

该功能被武器化以访问Kubernetes API令牌文件，从而允许更广泛的开发后工作，包括从IBM的私有容器注册表中提取容器图像，该注册表存储与用于PostgreSQL的ICD相关的图像，并扫描这些图像以获取其他机密。

研究人员解释说：“容器图像通常包含公司知识产权的专有源代码和二进制工件”。“它们还可以包含攻击者可以利用的信息，以发现其他漏洞并在服务的内部环境中执行横向移动”。

Wiz表示，它能够从图像清单文件中提取内部工件存储库和FTP凭证，有效地允许对受信任的存储库和IBM构建服务器进行不受限制的读写访问。

这种攻击可能会产生严重后果，因为它使对手能够覆盖PostgreSQL映像构建过程中使用的任意文件，然后将这些文件安装在每个数据库实例上。

这家美国科技巨头在一份独立的咨询报告中表示，所有用于PostgreSQL实例的IBM云数据库都可能受到该bug的影响，但他指出，没有发现恶意活动的证据。

它还表示，修复程序已自动应用于客户实例，无需进一步操作。缓解措施于2022年8月22日和9月3日推出。

研究人员表示：“这些漏洞可能被恶意行为者利用，作为广泛攻击链的一部分，最终导致对平台的供应链攻击”。

为了减轻此类威胁，建议组织监控其云环境中分散的凭据，强制实施网络控制以防止访问生产服务器，并防止容器注册表损坏。