Support technique
Documentation
Connexion
Nous contacter
La vulnérabilité de la chaîne d'approvisionnement d'IBM Cloud démontre une nouvelle classe de menaces
13 décembre 2022 - L'équipe de relations publiques de TuxCare
Les chercheurs en sécurité de Wiz ont découvert Hell's Keychain, une vulnérabilité de la chaîne d'approvisionnement d'un fournisseur de services en nuage, la première du genre, dans IBM Cloud Databases for PostgreSQL.
Cela s'est produit alors que les chercheurs effectuaient un audit de routine de PostgreSQL-as-a-service d'IBM Cloud pour déterminer s'ils pouvaient escalader les privilèges pour devenir super-utilisateurs, ce qui leur permettait d'exécuter du code arbitraire sur la machine virtuelle sous-jacente et de continuer à défier les limites de sécurité interne à partir de là.
Ils sont constitués de trois secrets exposés : le jeton du compte de service Kubernetes, le mot de passe du registre de conteneurs privé et les informations d'identification du serveur CI/CD. Ils ont été combinés avec un accès réseau trop permissif aux serveurs de construction internes, ce qui a potentiellement permis aux attaquants de lancer une attaque de la chaîne d'approvisionnement sur les clients du cloud en violant les services internes d'IBM Cloud et en perturbant le processus interne de construction d'images du système hébergé.
Il y a aussi le lien interdit, qui représente l'accès au réseau et qui relie un environnement de production à son environnement de construction, et le trousseau de clés, qui représente la collection d'un ou de plusieurs secrets épars découverts par l'attaquant dans l'environnement cible. L'un ou l'autre de ces scénarios est insalubre mais pas dangereux en soi. Cependant, lorsqu'ils sont combinés, ils forment une combinaison mortelle, selon les chercheurs.
Hell's Keychain commence par une faille d'injection SQL dans ICD, qui accorde à un attaquant des privilèges de superutilisateur (alias "ibm"), qui sont ensuite utilisés pour exécuter des commandes arbitraires sur la machine virtuelle sous-jacente qui héberge l'instance de la base de données.
Cette capacité est utilisée pour accéder à un fichier de jeton d'API Kubernetes, permettant des efforts plus larges de post-exploitation tels que la récupération d'images de conteneurs à partir du registre privé de conteneurs d'IBM, qui stocke les images liées à ICD pour PostgreSQL, et l'analyse de ces images pour des secrets supplémentaires.
"Les modifications apportées au moteur PostgreSQL ont effectivement introduit de nouvelles vulnérabilités dans le service", ont écrit les chercheurs. "Ces vulnérabilités auraient pu être exploitées par un acteur malveillant dans le cadre d'une vaste chaîne d'exploitation aboutissant à une attaque par chaîne d'approvisionnement sur la plateforme."
Wiz a poursuivi en disant qu'il pouvait extraire les informations d'identification du dépôt d'artefacts interne et du FTP à partir des fichiers de manifeste d'image, accordant effectivement un accès en lecture-écriture sans restriction aux dépôts de confiance et aux serveurs de construction IBM.
Bien qu'IBM ait déclaré que le bogue aurait pu affecter ses instances Cloud Databases for PostgreSQL, elle n'a trouvé aucune preuve d'activité malveillante utilisant l'élévation de privilèges PostgreSQL par injection SQL, et elle a depuis corrigé la vulnérabilité pour tous ses clients. Il n'est pas nécessaire que le client prenne des mesures.
Les sources de cet article comprennent un article de TheHackerNews.
