The Hacker News 網站披露，IBM 近日修復一個影響其 PostgreSQL 云數據庫（ICD）產品的高嚴重性安全漏洞（CVSS分數：8.8），該漏洞可能被利用來篡改內部存儲庫并運行未經授權的代碼。

云安全公司 Wiz 將該漏洞稱為“Hell's Keychain ”，一旦惡意攻擊者成功利用該漏洞可能會在客戶環境中遠程執行代碼，甚至讀取或修改存儲在 PostgreSQL 數據庫中的數據。

Wiz 研究人員 Ronen Shustin 和 Shir Tamari 表示：該漏洞由三個暴露的秘密 Kubernetes 服務帳戶令牌、私有容器注冊密碼、CI/CD 服務器憑據組成，再加上對內部構建服務器的過度許可網絡訪問。

Hell's Keychain 始于 ICD 中的一個 SQL 注入漏洞，該漏洞可能授予攻擊者超級用戶（又稱 "ibm"）權限，然后允許其在托管數據庫實例的底層虛擬機上執行任意命令。

據悉，這個功能被武器化以期訪問 Kubernetes API 令牌文件，從而允許更廣泛的開發后工作，包括從 IBM 的私有容器注冊表中提取容器圖像，該注冊表存儲與用于PostgreSQL 的 ICD 相關的圖像，并掃描這些圖像以獲取其他機密。

研究人員強調，容器圖像通常包含公司知識產權的專有源代碼和二進制工件，此外，它們還可以包含攻擊者可以利用的信息，以發現其他漏洞并在服務的內部環境中執行橫向移動。

Wiz 表示，它能夠從圖像清單文件中提取內部工件存儲庫和 FTP 憑證，有效地允許對受信任的存儲庫和 IBM 構建服務器進行不受限制的讀寫訪問。

這種攻擊能夠覆蓋到 PostgreSQL 映像構建過程中使用的任意文件，然后將這些文件安裝在每個數據庫實例上，因此可能會產生嚴重后果。

IBM 在一份獨立的咨詢報告中表示，所有用于 PostgreSQL 實例的 IBM 云數據庫都可能受到該 漏洞的影響，但目前還沒有發現惡意活動的跡象，修補措施于 2022 年 8 月 22 日和 9 月 3 日推出，已自動應用于客戶實例，無需進一步操作。

研究人員表示：作為廣泛攻擊鏈的一部分，這些漏洞可能被惡意攻擊者利用，最終導致對平臺的供應鏈攻擊。 為了減輕此類威脅，建議組織監控其云環境中分散的憑據，強制實施網絡控制以防止訪問生產服務器，并防止容器注冊表損壞。

參考文章：https://thehackernews.com/2022/12/researchers-disclose-supply-chain-flaw.html