Elevación de privilegios: Superusuario de la base de datos AlloyDB escribe en tablas de usuarios

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos cuando detectan una amenaza potencial en tus recursos alojados en la nube. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

La cuenta de superusuario de la base de datos AlloyDB para PostgreSQL (postgres) escribió en las tablas de usuarios. En general, no se debe usar el superusuario (un rol con acceso muy amplio) para escribir en las tablas de usuarios. Para las actividades diarias comunes, se debe usar una cuenta de usuario con acceso más limitado. Cuando un superusuario escribe en una tabla de usuarios, esto podría indicar que un atacante elevó sus privilegios o comprometió al usuario predeterminado de la base de datos y está modificando datos. También podría indicar prácticas normales, pero inseguras.

Event Threat Detection es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

Paso 1: Revisa los detalles del hallazgo

  1. Abre un hallazgo de Privilege Escalation: AlloyDB Database Superuser Writes to User Tables, como se indica en Revisa los hallazgos.

  2. En la pestaña Resumen del panel de detalles del hallazgo, revisa la información de las secciones siguientes:

    • Qué se detectó, en especial, los campos siguientes:
      • Nombre visible de la base de datos: Es el nombre de la base de datos incluida en la instancia de AlloyDB para PostgreSQL que se vio afectada.
      • Nombre de usuario de la base de datos: Es el superusuario.
      • Consulta de base de datos: Es la consulta en SQL que se ejecuta mientras se escriben datos en las tablas de usuarios.
    • Recurso afectado, en especial, los campos que se indican a continuación:
      • Nombre completo del recurso: Es el nombre del recurso incluido en la instancia de AlloyDB para PostgreSQL que se vio afectada.
      • Nombre completo superior: Es el nombre del recurso de la instancia de AlloyDB para PostgreSQL.
      • Nombre completo del proyecto: Es el proyecto de Google Cloud que contiene la instancia de AlloyDB para PostgreSQL.
    • Vínculos relacionados, en especial, los campos siguientes:
      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Es el vínculo a la documentación de MITRE ATT&CK.

  3. Para ver el archivo JSON completo del hallazgo, haz clic en la pestaña JSON.

Paso 2: Revisa los registros

  1. En la consola de Google Cloud , accede al Explorador de registros. Para ello, haz clic en el vínculo en cloudLoggingQueryURI (del paso 1). En la página Explorador de registros, se incluyen todos los registros relacionados con la instancia de AlloyDB para PostgreSQL correspondiente.
  2. Revisa los registros de pgaudit de PostgreSQL, que contienen las consultas que ejecutó el superusuario, con los filtros siguientes:
    • protoPayload.request.user="postgres"

Paso 3: Investiga los métodos de ataque y respuesta

  1. Revisa la entrada del framework MITRE ATT&CK para este tipo de hallazgo: Robo de datos en el servicio web.
  2. Para determinar si se necesitan pasos de solución adicionales, combina los resultados del análisis con la investigación de MITRE.

Paso 4: Implementa la respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas durante la investigación para determinar la mejor manera de resolver los hallazgos.

¿Qué sigue?