Wizは4月19日(米国時間)、「#BrokenSesame: Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services|Wiz Blog」において、Alibaba Cloudが提供しているクラウドデータベースサービスに重大な脆弱性があったことを伝えた。同社のApsaraDB RDS for PostgreSQLおよびAnalyticDB for PostgreSQLに「BrokenSesame」と名付けられた2つの欠陥があったことが報告されている。

  • #BrokenSesame: Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services|Wiz Blog

    #BrokenSesame: Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services|Wiz Blog

Alibaba CloudのPostgreSQLデータベースに2つの深刻なセキュリティの問題が存在していたことがわかった。リモートコード実行(RCE: Remote Code Execution)の脆弱性と見られており、悪用された場合、顧客の機密データにアクセスしまう可能性があったと報告されている。

発見されたセキュリティリスクは次のとおり。

  • マルチテナントアプリケーションにおける不適切な分離のリスク - コンテナレベルの安全ではない動作を悪用してK8Sノードに侵入し、K8Sクラスタ内で高い特権を得ることができることが判明。他のテナントのデータベースにアクセスすることができ、サービスの全ユーザーを危険にさらす可能性があった
  • コンテナレジストリへの不適切な書き込み権限のリスク - Alibaba Cloudのプライベートコンテナレジストリからイメージを引き出すために使用される認証情報の権限にレジストリへの書き込み権限があることが判明。この設定ミスにより、Alibaba Cloudデータベースサービスに対する大規模なサプライチェーン攻撃を実行できる可能性があることがわかった

Wiz Researchは2022年12月にAlibaba CloudにBrokenSesameの情報を開示。Alibaba Cloudが問題が完全に緩和されていること、顧客データが漏洩していないこと、顧客によるアクションが必要ないことを確認したと伝えている。