Bugs no Azure podem dar acesso a bancos de dados PostgreSQL

Apelidada de #ExtraReplica, falha permite acesso de leitura não autorizado aos bancos de dados de outros clientes
Da Redação
01/05/2022

Pesquisadores de segurança descobriram falhas no banco de dados do Azure para o servidor PostgreSQL Flexible Server que podem possibilitar o acesso não autorizado ao banco de dados entre contas em uma mesma região.

As vulnerabilidades foram descobertas por pesquisadores da empresa de segurança cibernética em nuvem Wiz, que as relataram à gigante de software a emissão de uma Divulgação Coordenada de Vulnerabilidades (CVD). Segundo os especialistas, a Microsoft mitigou a vulnerabilidade em 48 horas.

“A Wiz Research descobriu uma cadeia de vulnerabilidades críticas no banco de dados do Azure amplamente usado no servidor flexível PostgreSQL. Apelidada de #ExtraReplica, essa falha permite acesso de leitura não autorizado aos bancos de dados PostgreSQL de outros clientes, ignorando o isolamento de nuvem multilocatário”, diz relatório de análise publicado pela empresa. “Se explorado, uma pessoa mal-intencionada pode ter replicado e obtido acesso de leitura aos bancos de dados de clientes do Azure PostgreSQL Flexible Server.”

Veja isso
Azure AD tem vulnerabilidade grave, alerta Microsoft
Desenvolvedores do Azure são inundados com malwares 

Ainda de acordo com o relatório, ao explorar um bug de permissões elevadas no processo de autenticação do servidor para um usuário de replicação, um usuário mal-intencionado pode aproveitar uma expressão regular ancorada incorretamente para ignorar a autenticação e obter acesso aos bancos de dados de outros clientes.” lê o comunicado publicado pela Microsoft. “Todos os servidores PostgreSQL Flexible Server implantados usando a opção de rede de acesso público foram afetados por essa vulnerabilidade de segurança”, diz o documento.

O comunicado da Microsoft afirma que as falhas não afetam os clientes que usam a opção de rede de acesso privado. As duas falhas são um bug de escalonamento de privilégios do PostgreSQL e um desvio de autenticação entre contas usando um problema de certificado forjado.

A fabricante de software afirma ainda que nenhuma ação é exigida pelos clientes, mas também recomenda que os clientes habilitem o acesso à rede privada ao configurar suas instâncias de servidor flexível para mitigar as falhas.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)