Mehrere kritische Schwachstellen in Azure Database for PostgreSQL Flexible Server wurden kürzlich entdeckt und behoben, gab Microsoft in einer Sicherheitswarnung bekannt.
Wie BleepingComputer berichtet, hätten die Schwachstellen es böswilligen Benutzern ermöglichen können, ihre Berechtigungen zu erhöhen und Zugriff auf Kundendatenbanken zu erhalten. Glücklicherweise sei der Exploit vor der Veröffentlichung des Patches nicht zum Angriff auf Azure-Kunden genutzt worden und es seien keine Daten gestohlen worden, bestätigte Microsoft.
Da der Patch vor mehr als einem Monat bereitgestellt wurde, müssen Azure-Kunden keine zusätzlichen Schritte zum Schutz ihrer Endpunkte unternehmen.
Patches implementiert
Mit Flexible Server haben Azure Database for PostgreSQL-Benutzer mehr Kontrolle über ihre Datenbanken. In diesem Fall hatte Flexible Server jedoch eine Angriffsfläche geschaffen.
„Durch die Ausnutzung eines Fehlers mit erhöhten Berechtigungen im flexiblen Serverauthentifizierungsprozess für einen Replikationsbenutzer könnte ein böswilliger Benutzer einen schlecht verankerten regulären Ausdruck ausnutzen, um die Authentifizierung zu umgehen und auf die Datenbanken anderer Clients zuzugreifen“, sagte Microsoft.
„Dies wurde innerhalb von 48 Stunden (13. Januar 2022) behoben. Kunden, die die private Zugangsnetzwerkoption nutzten, waren dieser Schwachstelle nicht ausgesetzt. Das Einzelserverangebot von Postgres war nicht betroffen.“
Bis Ende Februar seien alle Patches ausgerollt, so Microsoft weiter.
Dennoch sagte das Unternehmen, es sei eine gute Idee, flexible PostgreSQL-Server in Azure Virtual Networks (VNets) bereitzustellen, da diese eine sichere, private Netzwerkkommunikation ermöglichen.
„Um die Gefährdung weiter zu minimieren, empfehlen wir Kunden, bei der Konfiguration ihrer flexiblen Serverinstanzen den privaten Netzwerkzugriff zu aktivieren“, sagte das Unternehmen.
Wiz Research, das Cloud-Sicherheitsunternehmen, das den Fehler zuerst entdeckte, nannte ihn ExtraReplica und fügte hinzu, dass es Schwierigkeiten gebe, Cloud-Schwachstellen aufzuspüren.
„Wie bei anderen Cloud-Schwachstellen wurde diesem Problem keine CVE-Kennung zugewiesen (im Gegensatz zu Software-Schwachstellen). Es ist in keiner Datenbank registriert oder dokumentiert“, sagte er. „Das Fehlen einer solchen Datenbank beeinträchtigt die Fähigkeit der Kunden, Cloud-Schwachstellen zu überwachen, zu verfolgen und darauf zu reagieren.“
Über BleepingComputer