Bug in Microsoft Azure lässt eine Reihe von Cloud-Datenbanken ungeschützt
Mehrere kritische Sicherheitslücken in Azure Database for PostgreSQL Flexible Server wurden kürzlich entdeckt und behoben, wie Microsoft in einem Sicherheitshinweis mitteilt.
Wie BleepingComputer berichtet, hätten die Sicherheitslücken es böswilligen Benutzern ermöglichen können, ihre Rechte zu erweitern und auf Kundendatenbanken zuzugreifen. Glücklicherweise wurde die Sicherheitslücke nicht genutzt, um Azure-Kunden anzugreifen, bevor der Patch veröffentlicht wurde, und es wurden keine Daten entwendet, bestätigte Microsoft.
Da der Patch bereits vor mehr als einem Monat bereitgestellt wurde, müssen Azure-Kunden keine zusätzlichen Maßnahmen zum Schutz ihrer Systeme ergreifen.
Bereitgestellte Fixes
Mit Flexible Server haben Azure Database for PostgreSQL-Nutzer mehr Kontrolle über ihre Datenbanken. In diesem Fall hatte Flexible Server jedoch eine Angriffsfläche geschaffen.
Durch die Ausnutzung eines Fehlers mit erhöhten Berechtigungen im Flexible Server-Authentifizierungsprozess für einen Replikationsbenutzer konnte ein böswilliger Benutzer einen nicht ordnungsgemäß verankerten regulären Ausdruck nutzen, um die Authentifizierung zu umgehen und Zugriff auf die Datenbanken anderer Kunden zu erhalten.
Dieses Problem wurde innerhalb von 48 Stunden (am 13. Januar 2022) behoben. Kunden, die die Netzwerkoption für den privaten Zugang nutzen, waren von dieser Schwachstelle nicht betroffen. Das Single Server-Angebot von Postgres war nicht betroffen.
Ende Februar waren alle Korrekturen implementiert, erklärte Microsoft weiter.
Dennoch sei es ratsam, flexible PostgreSQL-Server in virtuellen Azure-Netzwerken (VNet) zu betreiben, da diese eine private und sichere Netzwerkkommunikation ermöglichen, so das Unternehmen.
Um die Gefährdung weiter zu minimieren, empfehlen wir unseren Kunden, bei der Einrichtung ihrer Flexible Server-Instanzen den privaten Netzwerkzugang zu aktivieren.
Wiz Research, das Cloud-Sicherheitsunternehmen, das den Fehler zuerst entdeckte, nannte ihn ExtraReplica und fügte hinzu, dass es einige Herausforderungen gebe, Sicherheitslücken in der Cloud zu identifizieren.
Wie bei anderen Cloud-Sicherheitslücken hat auch dieses Problem keine CVE-Kennung erhalten (im Gegensatz zu Software-Schwachstellen). Sie ist in keiner Datenbank erfasst oder dokumentiert. Das Fehlen einer solchen Datenbank beeinträchtigt die Fähigkeit der Kunden, Sicherheitslücken in der Cloud zu überwachen, zu verfolgen und auf sie zu reagieren.