Acceso inicial: superusuario de la base de datos escribe en tablas de usuario

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

La cuenta de superusuario de la base de datos de Cloud SQL (postgres para PostgreSQL y root para MySQL) ha escrito en tablas de usuario. Por lo general, no se debe usar el superusuario (un rol con un acceso muy amplio) para escribir en tablas de usuarios. Para las actividades diarias normales, se debe usar una cuenta de usuario con un acceso más limitado. Cuando un superusuario escribe en una tabla de usuarios, podría indicar que un atacante ha aumentado los privilegios o ha puesto en peligro al usuario de la base de datos predeterminado y está modificando los datos. También podría indicar prácticas normales, pero no seguras.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

  1. Abre un Initial Access: Database Superuser Writes to User Tables tal como se indica en Revisar resultados.

  2. En la pestaña Resumen del panel de detalles de la detección, consulta la información de las siguientes secciones:

    • Qué se detectó, especialmente los siguientes campos:
      • Nombre visible de la base de datos: el nombre de la base de datos de la instancia de Cloud SQL PostgreSQL o MySQL afectada.
      • Nombre de usuario de la base de datos: el superusuario.
      • Consulta de base de datos: la consulta de SQL que se ejecuta al escribir en tablas de usuarios.
    • Recurso afectado, especialmente los siguientes campos:
      • Nombre completo del recurso: el nombre del recurso de la instancia de Cloud SQL afectada.
      • Nombre completo del recurso superior: el nombre del recurso de la instancia de Cloud SQL.
      • Nombre completo del proyecto: el Google Cloud proyecto que contiene la instancia de Cloud SQL.
    • Enlaces relacionados, especialmente los siguientes campos:
      • URI de Cloud Logging: enlace a las entradas de registro.
      • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
      • Hallazgos relacionados: enlaces a los hallazgos relacionados.

  3. Para ver el JSON completo de la detección, haga clic en la pestaña JSON.

Paso 2: Consulta los registros

  1. En la Google Cloud consola, ve al Explorador de registros haciendo clic en el enlace de cloudLoggingQueryURI (en Paso 1). La página Explorador de registros incluye todos los registros relacionados con la instancia de Cloud SQL correspondiente.
  2. Consulta los registros de pgaudit de PostgreSQL o los registros de auditoría de Cloud SQL para MySQL, que contienen las consultas ejecutadas por el superusuario, mediante los siguientes filtros:
    • protoPayload.request.user="SUPERUSER"

Paso 3: Investiga los métodos de ataque y respuesta

  1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Exfiltración a través de un servicio web.
  2. Para determinar si son necesarias medidas correctoras adicionales, combina los resultados de tu investigación con la investigación de MITRE.

Paso 4: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Siguientes pasos