谷歌云 SQL Service 中存在严重漏洞,导致敏感数据遭暴露
编译:代码卫士
谷歌最近修复了一个严重的 Cloud SQL 数据库服务漏洞,它可被用于访问敏感数据并攻陷其它云服务。
5月25日,Dig 安全公司的研究员在 GCP 的 CloudSQL 服务中发现了该漏洞,它可导致攻击者越权访问多种数据库引擎如 MySQL、PostgreSQL和SQL Server。
研究人员提到,“利用该漏洞可使攻击者提权并将用户分配到 GCP 的高权限 DbRootRole 角色。”利用角色权限基础架构中的严重的配置不当漏洞,攻击者可提升权限。研究人员获得系统管理员角色后,可完全控制 SQL Server 并访问底层操作系统。
研究人员表示好,他们能够接受敏感文件、查看权限路径、提取密码并访问主机操作系统中的机密信息。他们还强调了通过底层服务代理提升至其它环境的可能性。
此外,该公司还在2月份发现了谷歌 Cloud SQL 数据库服务中的其它漏洞并告知谷歌。谷歌4月份及时修复该问题,并为研究员颁发赏金。
安全分析师们之前还从权限结构中发现了其它严重漏洞,可被用于提升权限并授予用户隐秘的“系统管理员”角色。越权访问内部数据如机密信息、URL和密码等可带来严重的安全风险,如可在问题修复和非内部IP访问不受限之前,获取谷歌 docker 镜像仓库中的敏感信息。
部署数据安全和隐私管理解决方案可通过加密、阻止潜在攻陷事件并最小化暴露风险等,识别并保护客户最敏感的数据。
研究员发现 Google Cloud 项目中的 SSRF 漏洞,获1万美元奖金
https://gbhackers.com/google-clouds-sql-flaw/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。