現近日，The Hacker News 網站披露，阿里云 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreQL 數據庫爆出兩個關鍵漏洞。潛在攻擊者能夠利用這兩個漏洞破壞租戶隔離保護，訪問其它客戶的敏感數據。

云安全公司 Wiz 在與 The Hacker News 分享的一份報告中表示，這兩個漏洞可能允許未經授權的攻擊者訪問阿里云客戶的 PostgreSQL 數據庫，并對兩個數據庫服務進行供應鏈攻擊，從而導致對阿里巴巴數據庫服務的 RCE。

值得一提的是，早在 2022 年 12 月阿里云就收到了漏洞報告，并于 2023 年 4 月 12 日部署了緩解措施，此外沒有證據表明這些漏洞已經被野外被利用了。

據悉，這不是第一次在云服務中發現 PostgreSQL 漏洞，其它云服務廠商與曾出現過。去年，Wiz 在其他多家頭部云廠商中也發現了類似問題。

攻擊者利用漏洞可訪問其它用戶數據

從 Wiz 研究人員透漏出的信息來看，一旦潛在攻擊者成功利用 AnalyticDB 的權限升級漏洞和 ApsaraDB RDS 的遠程代碼執行漏洞后，便可在容器中提升權限至 root，“逃到”底層的 Kubernetes 節點，并最終獲得對 API 服務器的未授權訪問。

不僅如此，獲得上述權限后，攻擊者可以從 API 服務器中檢索與容器注冊表相關的憑據，并推送惡意映像，以控制屬于共享節點上其它租戶的客戶數據庫。

據悉，這不是第一次在云服務中發現 PostgreSQL 漏洞，其它云服務廠商與曾出現過。去年，Wiz 在 Azure Database for PostgreSQL Flexible Server（ExtraReplica）和 IBM Cloud Databases for PostgreQL（Hell’s Keychain）中發現了類似問題。

近幾年，網絡犯罪分子頻頻盯上云服務，從 Palo Alto Networks Unit 42 發布的《云威脅報告》的內容來看，威脅攻擊者目前非常善于利用錯誤配置、弱憑證、缺乏認證、未修補的漏洞和惡意的開放源碼軟件（OSS）包等云服務常見問題。

然而在如此危險的網絡環境下，76% 的組織沒有對控制臺用戶執行 MFA 多因素認證，58% 的組織沒有對根/管理員用戶執行 MFA。