العثور على ثقرة أمنية في قواعد بيانات PostgreSQL

العثور على ثقرة أمنية في قواعد بيانات PostgreSQL ,كشفت Microsoft يوم الخميس أنها عالجت زوجًا من المشكلات المتعلقة بقاعدة بيانات Azure لخادم PostgreSQL المرنة والتي قد تؤدي إلى الوصول غير المصرح به إلى قاعدة البيانات عبر الحسابات في منطقة لم تعلن عنها.

قال Microsoft Security Response Center (MSRC): “من خلال استغلال خطأ كبير في الأذونات في عملية مصادقة الخادم المرن لمستخدم النسخ المتماثل. يمكن لمستخدم ضار الاستفادة من تعبير عادي مرتبط بشكل غير صحيح لتجاوز المصادقة للوصول إلى قواعد بيانات العملاء الآخرين”.

بينما أطلقت شركة Wiz للأمن السحابي ومقرها نيويورك. والتي كشفت عن العيوب. وأطلق عليها اسم “ExtraReplica”. قالت Microsoft إنها خففت من الخطأ في غضون 48 ساعة من الكشف في 13 يناير 2022.

على وجه التحديد. يتعلق الأمر بحالة تصعيد الامتياز في محرك Azure PostgreSQL للحصول على تنفيذ التعليمات البرمجية وتجاوز المصادقة عبر الحسابات عن طريق شهادة مزورة. مما يسمح للمهاجم بإنشاء قاعدة بيانات في منطقة Azure للهدف واستخراج المعلومات الحساسة.

هل الاستغلال الناجح للعيوب الحرجة

بعبارة أخرى. بينما. كان من الممكن أن يؤدي الاستغلال الناجح للعيوب الحرجة إلى تمكين الخصم من الحصول على وصول غير مصرح به للقراءة إلى قواعد بيانات PostgreSQL للعملاء الآخرين. مما يؤدي بشكل فعال إلى التحايل على عزل المستأجر.

أزال Wiz تصعيد الامتياز إلى خطأ ناجم عن التعديلات التي أدخلت في محرك PostgreSQL لتقوية نموذج الامتياز الخاص بهم وإضافة ميزات جديدة. كما. يأتي اسم ExtraReplica من حقيقة أن الاستغلال يعزز ميزة PostgreSQL التي تسمح بنسخ بيانات قاعدة البيانات من خادم إلى آخر. أي “نسخ” قاعدة البيانات.

وصف صانع Windows الثغرة الأمنية بأنها تؤثر على مثيلات PostgreSQL Flexible Server التي تم نشرها باستخدام خيار شبكات الوصول العام. لكنها شددت على أنها لم تعثر على دليل على أن الخلل يتم استغلاله بشكل نشط وأنه لم يتم الوصول إلى بيانات العميل.

وقالت MSRC “لا يلزم اتخاذ أي إجراء من قبل العملاء”. “من أجل تقليل التعرض بشكل أكبر. من ناحية أخرى نوصي العملاء بتمكين الوصول إلى الشبكة الخاصة عند إعداد مثيلات الخادم المرن.”

اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.