数据库暴露途径
数据库配置错误
在大多数情况下,数据库被公开至网络是由于配置错误的原因造成,黑客常常使用可从开放网络访问的搜索引擎索引系统来寻找这些数据库,以窃取内容或进行金融勒索。Group-IB使用其攻击面管理解决方案扫描整个 IPv4 空间来查找与访问数据库相关的开放端口,并检查索引或表是否可用。Group-IB 的攻击面管理产品负责人 Tim Bobak 告诉 BleepingComputer,该公司的解决方案仅限于检查数据库是否暴露,不会收集或分析数据库内容。以这种方式收集的遥测数据不会显示开放数据库是否容易受到安全漏洞的影响,或者未经授权的一方是否在暴露在网络上时访问了它们。
专攻数据库安全的安全研究员 Bob Diachenko 告诉 Bleeping Computer:目前一些数据库供应商引入的 dbms (数据库管理系统)越复杂,反而越容易出现配置错误,从而在无意中暴露数据。他认为,数据库的目的不仅是存储数据,而且还允许以即时和便捷的方式共享这些数据,并由其他团队成员对其进行分析,如今,越来越多的人参与到数据库管理过程中,为了试图简化和加快访问速度,甚至对登录措施进行了省略。 同时,管理员平均需要 170 天的时间来发现错误配置并修复暴露问题,这足以让恶意行为者找到实例并窃取其内容。ExtraReplica Azure漏洞
Azure Database for PostgreSQL Flexible Server中发现的一系列严重漏洞,这些漏洞可能让恶意用户在绕过身份验证后提升权限并获得对其他客户数据库的访问权限。Flexible Server部署选项使客户能够最大程度地控制其数据库,包括精细调整和多个配置参数。微软安全响应中心团队今天解释说:“通过利用复制用户的Flexible Server身份验证过程中的提升权限漏洞,导致恶意用户可访问其他客户的数据库。”不过,随后微软也表示该事件在48小时内就得到了缓解,且表示使用专用接入网络选项的客户没有受到此漏洞的影响,单服务器提供的Postgres没有受到影响。 Microsoft在今年2月25日之前为所有Flexible Server部署了修复程序,以解决Flexible Server PostgreSQL服务中的远程代码执行缺陷和权限提升漏洞。发现该安全漏洞的云安全公司Wiz的研究团队将它们统称为ExtraReplica,并于2022年1月11日向微软披露。正如微软所解释的那样,Wiz 研究人员通过以下步骤来获得提升的权限和远程代码执行,这使他们能够使用伪造的证书绕过跨账户身份验证并访问其他客户的数据库:- 选择一个目标PostgreSQL灵活服务器。
- 从Certificate Transparency提要中检索目标的公用名。
- 从 DigiCert 或 DigiCert 中间证书颁发机构购买特制证书。
- 通过解析数据库域名并将其与Azure的公共IP范围之一匹配来查找目标的 Azure 区域。
- 在目标的 Azure 区域中创建攻击者控制的数据库。
- 利用攻击者控制的实例上的漏洞 #1 来提升权限并获得代码执行。
- 扫描目标实例的子网并利用漏洞 #2 获得读取权限!
预防措施
Group-IB 的 Bobak 指出,大多数困扰数据库安全的问题都可以轻松预防。如果管理员在设置和维护数据库时遵循特定关键措施,则可以确保数据库安全。总结为以下几点:- 如无必要,确保数据库不公开;
- 使数据库管理系统保持最新版本,以减少可利用的缺陷;
- 使用强用户身份验证;
- 为所有存储的信息部署强大的数据加密协议;
- 使用采用数据包过滤器、数据包检查和代理的数据库和 Web 应用程序防火墙;
- 使用实时数据库监控;
- 避免使用将数据库暴露给恶意扫描的默认网络端口;
- 尽可能遵循服务器分段做法;
- 以加密形式对数据进行离线备份。
参考:
若有收获,就点个赞吧
0 人点赞
