研究人员在阿里云 PostgreSQL 数据库中发现 2 个安全漏洞。

(资料图)

ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL 是阿里的两个云服务。ApsaraDB RDS 是管理数据库托管服务，具有自动监控、备份、灾备功能。ApsaraDB RDS 是管理数据仓库服务。

BrokenSesame 漏洞概述

Wiz 研究人员在阿里云 PostgreSQL 数据库中发现 2 个安全漏洞—— #BrokenSesame：一个 AnalyticDB 中的权限提升漏洞和一个 ApsaraDB RDS 中的远程代码执行漏洞。攻击者利用这两个漏洞可以实现容器内的 root 权限提升，绕过租户隔离保护，实现 Kubernetes 节点逃逸，最终获得 API 服务器的非授权访问，并访问属于其他用户的敏感数据。

AnalyticDB for PostgreSQL 攻击流

研究人员利用 cronjob 任务中的权限提升漏洞来在容器内实现 root 权限提升；

然后利用共享的 PID 命名空间来实现底层主机（k8s 节点）的逃逸；

然后利用 kubelet 凭证访问敏感资源，包括服务账户、pods 等；

研究人员在分析 pod 列表时发现了属于同一集群的其他租户的 pods。这表明阿里云将该集群用于多租户，即可以获得这些 pods 的跨租户访问；

因为阿里云使用私有的容器镜像库，因此研究人员需要对应的凭证信息才能访问；

在测试容器镜像注册表的凭证时，研究人员发现不仅有读权限还有写权限。即研究人员具有覆写容器镜像的能力，并有可能针对整个服务和其他服务的镜像发起供应链攻击。

研究人员利用该漏洞来访问 pod 内邻居管理容器的源码；

在对管理容器源码进行审计时发现了一个远程代码执行漏洞。然后，研究人员发现该容器是具有特权的，即可以实现主机（k8s 节点）的逃逸；

然后研究人员再次确认阿里云使用了多租户集群，随后在该节点了发现了属于其他账户的数据库，既可以访问其他数据；

用于该服务的私有容器注册表库与用于 AnalyticDB 的相同，也就是说可以用 AnalyticDB 的凭证对 ApsaraDB RDS 发起供应链攻击。

Wiz 于 2022 年 12 月将该漏洞提交给阿里云，阿里云于 2023 年 4 月 12 日完全修复了漏洞。阿里云确认没有用户数据泄露，用户也无需进行任何操作。