พบช่องโหว่ใน PostgreSQL container escape กระทบกับผู้ให้บริการ Cloud หลายแห่ง

นักวิจัยจาก Wiz พบช่องโหว่ใน PostgreSQL-as-a-Service จากผู้ให้บริการ Cloud หลายแห่ง เช่น Google Cloud Platform (GCP), Azure รวมไปถึงผู้ให้บริการรายอื่นๆ โดยช่องโหว่สามารถทำให้เกิดการยกระดับสิทธิ role ใน database เป็น cloudsqladmin ได้ จึงทำให้ผู้โจมตีสามารถสั่งรันโค้ดบนระบบปฏิบัติการได้, และยังสามารถยกระดับสิทธิเป็น root โดยใช้เทคนิด symlink attack และสุดท้ายเนื่องจาก container ใช้ network interfaces เดียวกันกับเครื่อง Host นักวิจัยจึงสามารถใช้วิธีการ TCP injection ปลอมแปลง response metadata service ทำให้สามารถควบคุม SSH key ของเครื่อง Host และทำการ remote เข้าเครื่อง Host ได้

PostgreSQL privilege escalation
เริ่มแรก user จะใช้สิทธิ cloudsqlsuperuser ซึ่งจะยังไม่สามารถ execute OS command ได้

เมื่อรวมสองเทคนิคเข้าด้วยกัน ถ้ามีการสร้าง table owner เป็น cloudsqladmin และ ใช้ index function run SQL query ด้วยสิทธิ owner จะทำให้นักวิจัยสามารถรัน OS command อะไรก็ได้โดยใช้ สิทธิของ cloudsqladmin

Local privilege escalation to root
นักวิจัยพบ directory /pgsql ที่ user postgres เป็น owner

ซึ่งภายใน directory จะมีไฟล์ iptables-save ที่ใช้สำหรับ iptables rules ซึ่งมี root เป็น owner

โดยทุกครั้งที่มีการแก้ไข network rule บน Cloud SQL console ไฟล์ iptables-save จะถูกอัปเดตด้วยทุกครั้ง

iptables-save

จากข้อมูลด้านบนทำให้นักวิจัยพบวิธีการโจมตีโดยมีขั้นตอนดังนี้

สร้าง shell shared library ไว้ที่ path ‘1.1.1.1/32’
สร้าง symlink iptables-save ไปที่ /etc/ld.

นักวิจัยจาก Wordfence Threat Intelligence ระบุว่า WP Statistics ซึ่งเป็น plugin ซึ่งถูกพัฒนาโดย VeronaLabs มีช่องโหว่ Time-Based Blind SQL injection

นักวิจัยจาก Wordfence Threat Intelligence ระบุว่า WP Statistics ซึ่งเป็น plugin ซึ่งถูกพัฒนาโดย VeronaLabs มีช่องโหว่ Time-Based Blind SQL injection ซึ่งทำให้ผู้โจมตีสามารถโจมตีผ่านช่องโหว่โดยไม่ต้องมีการยืนยันตัวตนได้ ช่องโหว่ที่ถูกโจมตีสามารถใช้เพื่อดึงข้อมูล Sensitive information จากเว็ปไซต์ที่ถูกพัฒนาด้วย WordPress และมีช่องโหว่จาก plugin ดังกล่าว โดยช่องโหว่ที่พบได้ระดับความรุนแรงจาก CVSS ถึง 7.5 (ความรุนแรงสูง) และมีผลกับปลั๊กอินเวอร์ชันก่อนหน้า 13.0.8 ซึ่งปัจจุบันมีการถูก Download ไปใช้งานแล้วมากกว่า 600,000 ครั้ง

การเข้าถึง เมนู “Page” บน WP Statistics ข้อมูล Statistics ซึ่งโดยปกติแล้วควรจะเข้าถึงได้เฉพาะผู้ดูแลระบบ ที่ใช้ในการเข้าชมสถิติของเว็บไซต์ของตนเอง แต่นักวิจัยค้นพบว่าหากมีการใข้คำสั่ง SQL ที่ถูกสร้างขึ้น ก็ทำให้ไม่จำเป็นต้องมีสิทธิ์แอดมินก็สามารถเข้าถึงเมนูดังกล่าวได้

นักวิเคราะห์จาก Wordfence ระบุว่าแม้เมนู Page จะไม่แสดงข้อมูลแก่ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ แต่สามารถเรียกใช้งานหน้านี้ได้โดยส่งคำขอไปยัง wp-admin/admin.

Hacker stole $100,000 from Users of California based ISP using SQL Injection

ในปี 2013 มีการพยายามโจมตีธนาคาร, เครดิตยูเนียน และ บริษัทยูทิลิตี้ เพิ่มขึ้นเป็นจำนวนมาก โดยใช้เทคนิคการโจมตีต่างๆ เช่น DDos attack, SQL injection, DNS Hjacking และ Zero-day

ล่าสุดกลุ่มแฮกเกอร์ที่ชื่อ "Teamberserk" อ้างบนทวิตเตอร์ว่าได้ขโมยเงินจำนวน $100,000 โดยใช้ชื่อผู้ใช้และรหัสผ่านที่ได้จาก California ISP Sebastian (sebastia ncorp.