IBM Cloud Supply Chain-Schwachstelle demonstriert neue Bedrohungsklasse

Wiz-Sicherheitsforscher entdeckten Hell's Keychain, eine erstmalige Schwachstelle in der Lieferkette von Cloud-Service-Providern, in IBM Cloud Databases for PostgreSQL.

Dies geschah, als die Forscher eine Routineprüfung von IBM Clouds PostgreSQL-as-a-Service durchführten, um festzustellen, ob sie ihre Privilegien zu Superusern ausweiten konnten, was es ihnen ermöglichte, beliebigen Code auf der zugrunde liegenden virtuellen Maschine auszuführen und von dort aus die internen Sicherheitsgrenzen zu überwinden.

Sie bestehen aus drei offengelegten Geheimnissen: dem Token für das Kubernetes-Dienstkonto, dem Passwort für die private Container-Registry und den Anmeldedaten für den CI/CD-Server. Sie wurden mit einem allzu freizügigen Netzwerkzugang zu internen Build-Servern kombiniert, wodurch Angreifer möglicherweise einen Supply-Chain-Angriff auf Cloud-Kunden starten konnten, indem sie in interne IBM Cloud-Dienste eindrangen und den internen Image-Erstellungsprozess des gehosteten Systems störten.

Es gibt auch einen verbotenen Link, der den Netzwerkzugang darstellt und eine Produktionsumgebung mit ihrer Build-Umgebung verbindet, und den Schlüsselbund, der die Sammlung eines oder mehrerer verstreuter Geheimnisse darstellt, die der Angreifer in der Zielumgebung entdeckt hat. Beide Szenarien sind unhygienisch, aber für sich genommen nicht gefährlich. Wenn sie jedoch kombiniert werden, bilden sie eine tödliche Kombination, so die Forscher.

Hell's Keychain beginnt mit einer SQL-Injektionslücke in ICD, die einem Angreifer Superuser-Rechte (auch bekannt als "ibm") gewährt, die dann dazu verwendet werden, beliebige Befehle auf der zugrunde liegenden virtuellen Maschine auszuführen, die die Datenbankinstanz hostet.

Diese Fähigkeit wird genutzt, um Zugriff auf eine Kubernetes-API-Token-Datei zu erhalten, was weitergehende Maßnahmen nach der Ausnutzung ermöglicht, z. B. das Abrufen von Container-Images aus der privaten Container-Registry von IBM, in der Images im Zusammenhang mit ICD für PostgreSQL gespeichert sind, und das Scannen dieser Images nach zusätzlichen Geheimnissen.

"Modifikationen an der PostgreSQL-Engine führten effektiv neue Schwachstellen in den Dienst ein", schreiben die Forscher. "Diese Schwachstellen hätten von einem böswilligen Akteur als Teil einer umfangreichen Exploit-Kette ausgenutzt werden können, die in einem Supply-Chain-Angriff auf die Plattform gipfelte.

Wiz fuhr fort, dass es interne Artefakt-Repository- und FTP-Zugangsdaten aus Image-Manifestdateien extrahieren kann, wodurch ein uneingeschränkter Lese- und Schreibzugriff auf vertrauenswürdige Repositories und IBM-Build-Server ermöglicht wird.

Obwohl IBM erklärte, dass der Fehler seine Cloud-Datenbanken für PostgreSQL-Instanzen betroffen haben könnte, fand es keine Beweise für böswillige Aktivitäten, die die PostgreSQL-Privilegienerweiterung über SQL Injection nutzen, und hat die Schwachstelle inzwischen für alle seine Kunden gepatcht. Es besteht kein Handlungsbedarf für den Kunden.

Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.

Zusammenfassung

Artikel Name

IBM Cloud Supply Chain-Schwachstelle zeigt neue Bedrohung auf

Beschreibung

Wiz-Sicherheitsforscher entdeckten Hell's Keychain, eine erstmals auftretende Schwachstelle in der Lieferkette von Cloud-Service-Providern.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers