Now Reading
Schwachstelle in dieser IBM Cloud Supply Chain zeigt neue Bedrohungsklasse

Schwachstelle in dieser IBM Cloud Supply Chain zeigt neue Bedrohungsklasse

Schwachstelle in der IBM Cloud Supply Chain zeigt neue Bedrohungsklasse


Eine Schwachstelle in IBM Cloud-Datenbanken zu Gunsten von PostgreSQL hätte es Angreifern zuteilen können, zusammensetzen Lieferkettenangriff hinauf Cloud-Kunden zu starten, während sie interne IBM Cloud-Dienste verletzten und den internen Image-Erstellungsprozess des gehosteten Systems unterbrachen.

Sicherheitsforscher von Wiz entdeckten den Fehler, den sie “Hell’s Keychain” nannten. Es enthielt eine Kettenfäden von drei offengelegten Geheimnissen, gepaart mit einem horrend freizügigen Netzwerkzugriff hinauf interne Build-Server, enthüllten die Forscher in einem am 1. Monat des Winterbeginns veröffentlichten Blogbeitrag.

Obwohl die Schwachstelle jetzt gepatcht wurde, ist sie insofern von Rang, wie sie zusammensetzen seltenen Angriffsvektor in dieser Versorgungskette darstellt, dieser sich hinauf die Unterbau eines Cloud-Tafelgeschirr-Providers (CSP) auswirkt, sagt Ami Luttwak, CTO von Wiz, oppositionell Dark Reading. Die Kenntniserlangung deckt zweitrangig eine Stil von PostgreSQL-Schwachstellen hinauf, die die meisten Cloud-Versorger sich manifestieren in, einschließlich Microsoft Azure und Google Cloud Platform.

„Dies ist ein einzigartiger Angriffsvektor zu Gunsten von die Versorgungskette, dieser zeigt, wie Angreifer unter Umständen Fehler im Build-Prozess ausnutzen können, um die gesamte Cloud-Umgebung zu übernehmen“, sagt er.

Insbesondere deckten die Forscher „ein großes Risiko hinauf, dasjenige durch unsachgemäße Fehlerbehebung von Build-Geheimnissen aus Container-Images verursacht wird, wodurch ein Angreifer Schreibzugriff hinauf dasjenige zentrale Container-Image-Repository erhalten kann“, sagt Luttwak. Dies hätte es dem Mime ermöglicht, bösartigen Programmcode in Kundenumgebungen auszuführen und die in dieser Datensammlung gespeicherten Datenansammlung zu ändern.

„Modifikationen an dieser PostgreSQL-Engine führten effektiv neue Schwachstellen in den Tätigkeit ein“, schreiben die Forscher in ihrem Mitgliedsbeitrag. „Solche Schwachstellen könnten von einem böswilligen Mime wie Teil einer umfangreichen Exploit-Kettenfäden ausgenutzt worden sein, die in einem Supply-Chain-Überfall hinauf die Plattform gipfelt.“

Wie schon erwähnt, ist die Fähigkeit, PostgreSQL zu verwenden, um in die IBM Cloud einzudringen, nicht nur dem Dienstanbieter vorbehalten, so die Forscher. Wiz hat schon ähnliche Schwachstellen in anderen CSP-Umgebungen gefunden, die in Bälde offengelegt werden sollen und die ein breiteres Problem von Cloud-Fehlkonfigurationen transparent machen, die eine Risiko dieser Versorgungskette zu Gunsten von Unternehmenskunden darstellen.

Die Existenz des Fehlers zeigt zweitrangig, wie eine unsachgemäße Verwaltung von Geheimnissen – oder langlebigen Authentifizierungstoken zu Gunsten von Cloud-APIs oder andere Unternehmenssysteme – ein hohes Risiko eines unerwünschten Eindringens von Angreifern in eine Organisation darstellen kann, die zusammensetzen Cloud-Versorger nutzt, sagt Luttwak.

„Offengelegte Geheimnisse zu finden und zu nutzen, ist die Methode Nr. 1 zu Gunsten von Querbewegungen in Cloud-Umgebungen“, sagt er.

Die Forscher sagten, dass sie vorerst mit IBM zusammengearbeitet nach sich ziehen, um dasjenige Problem in dieser IBM Cloud zu beheben, und dass keine Maßnahmen zur Kundenminderung erforderlich sind.

Dekuvrieren dieser Kettenfäden

Die Forscher führten ein typisches Betriebsprüfung von PostgreSQL-as-a-Tafelgeschirr von IBM Cloud durch, um herauszufinden, ob sie die Berechtigungen eskalieren könnten, um ein „Superuser“ zu werden, dieser es ihnen zuteilen würde, beliebigen Programmcode hinauf dieser zugrunde liegenden virtuellen Maschine auszuführen und weiterhin interne Sicherheitsgrenzen zu hinterfragen von dort.

Basierend hinauf ihrer Erlebnis sagten sie, dass die Fähigkeit, zusammensetzen Supply-Chain-Überfall hinauf zusammensetzen CSP durchzuführen, hinauf zwei Schlüsselfaktoren beruht: dem verbotenen Link und dem Schlüsselbund.

„Dieser verbotene Link stellt den Netzwerkzugriff dar – insbesondere ist es die Verkettung zwischen einer Produktionsumgebung und ihrer Build-Umgebung“, schrieben die Forscher. „Dieser Schlüsselbund hingegen symbolisiert die Sammlung eines oder mehrerer verstreuter Geheimnisse, die dieser Angreifer in dieser Zielumgebung findet.“

Für jedes sich genommen ist jedes Szenario „unhygienisch“, im Gegensatz dazu nicht ungelegen gefährlich. In der Tat „zusammenbauen sie in Zusammenstellung eine tödliche Verkettung“, sagten die Forscher.

Hell’s Keychain enthielt drei spezifische Geheimnisse: ein Kubernetes-Dienstkonto-Token, ein privates Containerregistrierungskennwort und Serveranmeldeinformationen zu Gunsten von kontinuierliche Integration und Versorgung (CI/CD).

Die Zusammenstellung dieser Kettenfäden mit dieser sogenannten verbotenen Verkettung zwischen dieser persönlichen PostgreSQL-Instanz von Wiz und dieser Build-Umgebung von IBM Cloud-Datenbanken ermöglichte es Forschern, hinauf die internen Build-Server von IBM Cloud zuzugreifen und ihre Artefakte zu verheimlichen, sagten die Forscher.

Auswirkungen hinauf die Cloud-Sicherheit

Dies in Hell’s Keychain vorgestellte Szenario stellt ein umfassenderes Problem intrinsisch dieser Cloud-Sicherheitsgemeinschaft dar, dasjenige Hinsicht und Rechtsbehelf erfordert, sagten die Forscher. Dies heißt: verstreute Klartext-Anmeldeinformationen, die in Cloud-Umgebungen gefunden werden, stellen ein enormes Risiko zu Gunsten von ein Unternehmen dar, da sie die Serviceintegrität und die Mandantenisolierung in Mitleidenschaft ziehen, sagten sie.

Punktum diesem Grund ist dasjenige geheime Scannen in allen Phasen dieser Pipeline von entscheidender Rang, einschließlich in CI/CD, Programmcode-Repo, Containerregistrierungen und intrinsisch dieser Cloud, sagt Luttwak.

„Darüber hinaus ist die Sperrung privilegierter Anmeldeinformationen zu Gunsten von die Containerregistrierung von entscheidender Rang, da ebendiese Anmeldeinformationen oft verpennen werden, im Gegensatz dazu quasi die Schlüssel zum Monarchie sind“, fügt er hinzu.

CSP-Kunden sollten zweitrangig die Validierung dieser Bildsignierung droben Zugangskontrollen in Betracht ziehen, um sicherzustellen, dass ebendiese Erscheinungsform von Angriffen vollwertig verhindert werden, sagt Luttwak.

Hell’s Keychain hebt zweitrangig eine häufige Fehlkonfiguration zwischen dieser Verwendung dieser beliebten Kubernetes-API zu Gunsten von die Containerverwaltung intrinsisch dieser Cloud hervor – den Pod-Zugriff, „dieser zu einer uneingeschränkten Offenlegung dieser Containerregistrierung münden kann“, sagt er.

Eine weitere bewährte Methode, die die Forscher empfehlen, ist, dass jede Organisation – CSP oder andere – die Versorgung einer Cloud-Umgebung ergreifen kann, besteht darin, strenge Netzwerkkontrollen zwischen dieser mit dem Web verbundenen Umgebung und dem internen Netzwerk dieser Organisation in dieser Produktionsumgebung durchzusetzen, damit Angreifer nicht tiefer eindringen können Mauke zu fassen und die Unentwegtheit aufrechtzuerhalten, wenn es ihnen gelingt, sie zu durchbrechen.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top