Escalonamento de privilégios: o superusuário do banco de dados AlloyDB grava nas tabelas do usuário

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A conta de superusuário do banco de dados AlloyDB para PostgreSQL (postgres) gravou nas tabelas do usuário. O superusuário (uma função com acesso muito amplo) geralmente não deve ser usado para gravar em tabelas de usuários. Uma conta de usuário com acesso mais limitado deve ser usada para atividades diárias normais. Quando um superusuário grava em uma tabela de usuários, isso pode indicar que um invasor ampliou os privilégios ou comprometeu o usuário padrão do banco de dados e está modificando dados. Também pode indicar práticas normais, mas não seguras.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Privilege Escalation: AlloyDB Database Superuser Writes to User Tables, conforme direcionado em Como verificar descobertas.

2. Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • Nome de exibição do banco de dados: o nome do banco de dados na instância do AlloyDB para PostgreSQL que foi afetada.
     • Nome de usuário do banco de dados: o superusuário.
     • Consulta de banco de dados: a consulta SQL executada ao gravar em tabelas de usuários.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome do recurso da instância do AlloyDB para PostgreSQL que foi afetada.
     • Nome completo do pai: o nome do recurso da instância do AlloyDB para PostgreSQL.
     • Nome completo do projeto: o projeto Google Cloud que contém a instância do AlloyDB para PostgreSQL.
   • Links relacionados, principalmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.

3. Para ver o JSON completo da descoberta, clique na guia JSON.

Etapa 2: verificar os registros

1. No console Google Cloud , acesse o Explorador de registros clicando no link em cloudLoggingQueryURI (da Etapa 1). A página Explorador de registros inclui todos os registros relacionados à instância relevante do AlloyDB para PostgreSQL.
2. Verifique os registros pgaudit do PostgreSQL, que contêm as consultas executadas pelo superusuário, usando os seguintes filtros:
   • protoPayload.request.user="postgres"

Etapa 3: pesquisar métodos de ataque e resposta

1. Revise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Exfiltration Over Web Service (Exfiltração sobre o serviço da Web).
2. Para determinar se outras etapas de correção são necessárias, combine seus resultados da investigação com a pesquisa do MITRE.

Etapa 4: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Revise os usuários que podem se conectar ao banco de dados.
• Considere mudar a senha do superusuário.
• Considere criar um novo usuário com acesso limitado para os diferentes tipos de consultas usadas na instância.
  • Conceda ao novo usuário apenas as permissões necessárias para executar as consultas.
  • Atualizar as credenciais dos clientes que se conectam à instância do AlloyDB para PostgreSQL

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.