Elevación de privilegios: El superusuario de la base de datos de AlloyDB escribe en tablas de usuarios

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

La cuenta de superusuario de la base de datos de AlloyDB para PostgreSQL (postgres) escribió en tablas de usuarios. En general, no se debe usar el superusuario (un rol con acceso muy amplio) para escribir en las tablas de usuarios. Para las actividades diarias normales, se debe usar una cuenta de usuario con acceso más limitado. Cuando un superusuario escribe en una tabla de usuarios, esto podría indicar que un atacante tiene privilegios elevados o comprometió al usuario de la base de datos predeterminado y está modificando datos. También podría indicar prácticas normales, pero no seguras.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

  1. Abre un resultado de Privilege Escalation: AlloyDB Database Superuser Writes to User Tables, como se indica en Revisa los resultados.

  2. En la pestaña Resumen del panel de detalles del hallazgo, revisa la información de las siguientes secciones:

    • Qué se detectó, especialmente los siguientes campos:
      • Nombre visible de la base de datos: Es el nombre de la base de datos en la instancia de AlloyDB para PostgreSQL que se vio afectada.
      • Nombre de usuario de la base de datos: El superusuario.
      • Consulta de base de datos: Es la consulta en SQL que se ejecuta mientras se escriben datos en las tablas del usuario.
    • Recurso afectado, en especial los siguientes campos:
      • Nombre completo del recurso: Es el nombre del recurso de la instancia de AlloyDB para PostgreSQL que se vio afectada.
      • Nombre completo principal: Es el nombre del recurso de la instancia de AlloyDB para PostgreSQL.
      • Nombre completo del proyecto: Es el proyecto Google Cloud que contiene la instancia de AlloyDB para PostgreSQL.
    • Vínculos relacionados, en especial los siguientes campos:
      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.

  3. Para ver el JSON completo del hallazgo, haz clic en la pestaña JSON.

Paso 2: Comprueba los registros

  1. En la consola de Google Cloud , ve al Explorador de registros. Para ello, haz clic en el vínculo en cloudLoggingQueryURI (del Paso 1). En la página Explorador de registros, se incluyen todos los registros relacionados con la instancia de AlloyDB para PostgreSQL pertinente.
  2. Verifica los registros de pgaudit de PostgreSQL, que contienen las consultas ejecutadas por el superusuario, con los siguientes filtros:
    • protoPayload.request.user="postgres"

Paso 3: Investiga los métodos de ataque y respuesta

  1. Revisa la entrada del framework de MITRE ATT&CK para este tipo de resultado: Robo de datos en el servicio web.
  2. Para determinar si se necesitan pasos de solución adicionales, combina los resultados de la investigación con la investigación del MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

¿Qué sigue?