Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La vulnerabilidad de la cadena de suministro en la nube de IBM demuestra una nueva clase de amenaza
13 de diciembre de 2022 - Equipo de RRPP de TuxCare
Los investigadores de seguridad de Wiz descubrieron Hell's Keychain, una vulnerabilidad en la cadena de suministro de proveedores de servicios en la nube, la primera de su clase, en IBM Cloud Databases para PostgreSQL.
Esto ocurrió mientras los investigadores realizaban una auditoría rutinaria de PostgreSQL-as-a-service de IBM Cloud para determinar si podían escalar privilegios para convertirse en superusuarios, lo que les permitiría ejecutar código arbitrario en la máquina virtual subyacente y continuar desafiando los límites de seguridad interna desde allí.
Se componen de tres secretos expuestos: el token de la cuenta del servicio Kubernetes, la contraseña del registro privado de contenedores y las credenciales del servidor CI/CD. Se combinaron con un acceso de red excesivamente permisivo a los servidores de creación internos, lo que podría permitir a los atacantes lanzar un ataque a la cadena de suministro de los clientes de la nube mediante la violación de los servicios internos de IBM Cloud y la interrupción del proceso interno de creación de imágenes del sistema alojado.
También hay un enlace prohibido, que representa el acceso a la red y conecta un entorno de producción con su entorno de compilación, y El llavero, que representa la colección de uno o más secretos dispersos descubiertos por el atacante en todo el entorno objetivo. Cualquiera de los dos escenarios es insalubre pero no peligroso por sí solo. Sin embargo, cuando se combinan, forman una combinación mortal , según los investigadores.
Hell's Keychain comienza con un fallo de inyección SQL en ICD, que otorga a un atacante privilegios de superusuario (también conocido como "ibm"), que luego se utilizan para ejecutar comandos arbitrarios en la máquina virtual subyacente que aloja la instancia de base de datos.
Esta capacidad se utiliza para obtener acceso a un archivo token de la API de Kubernetes, lo que permite realizar esfuerzos de post-explotación más amplios, como recuperar imágenes de contenedores del registro de contenedores privado de IBM, que almacena imágenes relacionadas con ICD para PostgreSQL, y escanear esas imágenes en busca de secretos adicionales.
"Las modificaciones en el motor PostgreSQL introdujeron efectivamente nuevas vulnerabilidades en el servicio", escribieron los investigadores. "Estas vulnerabilidades podrían haber sido explotadas por un actor malicioso como parte de una extensa cadena de exploits que culminara en un ataque a la cadena de suministro de la plataforma".
Wiz continuó diciendo que podía extraer el repositorio interno de artefactos y las credenciales FTP de los archivos de manifiesto de imagen, concediendo efectivamente acceso de lectura y escritura sin restricciones a los repositorios de confianza y a los servidores de compilación de IBM.
Aunque IBM declaró que el fallo podría haber afectado a sus Cloud Databases para instancias PostgreSQL, no encontró evidencia de actividad maliciosa utilizando la escalada de privilegios PostgreSQL a través de SQL Injection, y desde entonces ha parcheado la vulnerabilidad para todos sus clientes. No es necesario que el cliente tome ninguna medida.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
