Mehrere kritische Schwachstellen in Azure Database for PostgreSQL Flexible Server wurden kürzlich entdeckt und gepatcht, kündigte Microsoft in einer Sicherheitsempfehlung an.
Wie BleepingComputer berichtet, könnten die Sicherheitslücken es böswilligen Benutzern ermöglicht haben, ihre Berechtigungen zu erhöhen und Zugriff auf Client-Datenbanken zu erhalten. Glücklicherweise wurde der Exploit nicht genutzt, um Azure-Kunden anzugreifen, bevor der Patch veröffentlicht wurde, und es wurden keine Daten mitgenommen, bestätigte Microsoft.
Da der Patch vor mehr als einem Monat bereitgestellt wurde, müssen Azure-Kunden keine zusätzlichen Schritte unternehmen, um ihre Endpunkte zu sichern.
Implementierte Patches
Mit Flexible Server haben Benutzer von Azure Database for PostgreSQL mehr Kontrolle über ihre Datenbanken. In diesem Fall hatte Flexible Server jedoch eine Angriffsfläche geschaffen.
„Durch die Ausnutzung eines Bugs mit erhöhten Berechtigungen im flexiblen Server-Authentifizierungsprozess für einen Replikationsbenutzer könnte ein böswilliger Benutzer einen schlecht verankerten regulären Ausdruck ausnutzen, um die Authentifizierung zu umgehen und auf die Datenbanken anderer Clients zuzugreifen“, sagte Microsoft.
„Dies wurde innerhalb von 48 Stunden (13. Januar 2022) gemildert. Clients, die die Option des privaten Zugriffsnetzwerks verwenden, waren dieser Sicherheitsanfälligkeit nicht ausgesetzt. Das Single-Server-Angebot von Postgres war nicht betroffen."
Bis Ende Februar seien alle Patches ausgespielt worden, so Microsoft weiter.
Dennoch sagte das Unternehmen, es sei eine gute Idee, flexible PostgreSQL-Server in Azure Virtual Networks (VNets) bereitzustellen, da sie eine private und sichere Netzwerkkommunikation bieten.
„Um das Risiko weiter zu minimieren, empfehlen wir Kunden, den privaten Netzwerkzugriff zu aktivieren, wenn sie ihre flexiblen Serverinstanzen einrichten“, sagte das Unternehmen.
Wiz Research, das Cloud-Sicherheitsunternehmen, das den Fehler zuerst entdeckte, nannte ihn ExtraReplica und fügte hinzu, dass es Schwierigkeiten gebe, Cloud-Schwachstellen zu verfolgen.
„Wie bei anderen Cloud-Schwachstellen wurde diesem Problem keine CVE-Kennung zugewiesen (im Gegensatz zu Software-Schwachstellen). Es ist in keiner Datenbank registriert oder dokumentiert“, sagte er. "Das Fehlen einer solchen Datenbank beeinträchtigt die Fähigkeit der Kunden, Cloud-Schwachstellen zu überwachen, zu verfolgen und darauf zu reagieren."
Über BleepingComputer
