- בלוג
- פרצת אבטחה קריטית בתהליך האימות של pgAdmin יכולה להוביל לחדירה למערכת
פרצת אבטחה קריטית בתהליך האימות של pgAdmin יכולה להוביל לחדירה למערכת
פרצת אבטחה קריטית בתהליך האימות של pgAdmin יכולה להוביל לחדירה למערכת
פורסם ב 26-09-2024
פרצת אבטחה קריטית התגלתה בתהליך האימות של-pgAdmin, כלי הניהול בקוד פתוח למסדי נתונים מבוססי PostgreSQL.
הפרצה חושפת חולשת אבטחה בלתי מספקת של תעודות האישור והאימות (Credentials) בפרוטוקול OAuth 2.0, בו משתמשת pgAdmin. ייתכן שהחולשה נובעת מדרך ההטמעה של OAuth 2.0 ב-pgAdmin.
תוקף שמצליח לנצל את החולשה (באמצעות יירוט של פרטי המשתמש או באמצעות ייצור של בקשת OAuth 2.0, למשל) יכול לשים ידיו על תעודות אישור בעלות מידע רגיש וחיוני לאימות המשתמש, ועל הזהות ה”סודית” של המשתמש במערכת OAuth 2.0. באמצעותם, התוקף יכול להתחזות למשתמש, לגשת למידע רגיש שלו על מסד הנתונים המנוהל על ידי pgAdmin, ואפילו להתקיף את כל המערכת
פרוטוקול אבטחה OAuth 2.0 הוא פרוטוקול לאימות משתמשים, באמצעות הענקת הרשאות ושיתוף (מוגבל) של מידע עם גורמי צד-שלישי (למעשה, ניתן לומר שהוא פרוטוקול הרשאות). ההרשאות ניתנות כ-token, מה שאמנם מאפשר למשתמשים להימנע משיתוף הסיסמה ושם המשתמש שלהם עם גורמי צד שלישי, אבל עדיין חושף אותם לסכנות שונות כמו זיוף של ה-token על ידי תוקפים, סוגים שונים של מתקפות “איש באמצע” (Man in the Middle), ועוד.
ביצוע התקיפה איננו מסובך או מורכב. הרשאות מערכת או כלים מסויימים אינם נחוצים, רק גישה לרשת בה מתבצעת הכניסה של המשתמש ה”קורבן” (וכמובן, שאותו משתמש יתחיל בתהליך הכניסה למסד הנתונים). למעשה, לפי מה ש-pgAdmin כותבים על התיקון בהערות על הגירסה המתוקנת, מספיק להשתמש בדפדפן אינטרנט.
הפרצה, שקיימת בגירסות 8.11 ומטה של pgAdmin, תוייגה כ-CVE-2024-9014 וקיבלה דירוג של 9.9 מתוך 10 בסולם CVSSv3.
היא תוקנה בגירסה 8.12 (יחד עם מספר באגים נוספים), אותה ניתן להוריד מדף ההורדות של pgAdmin (בהתאם למערכת שלכם).
שימו לב: במאגרי APT ו-RPM, הגירסאות ה”עדכניות” ביותר הן 8.9 (APT) ו-8.7 (RPM).
נכון לעכשיו, לא דווח על ניצול מוצלח של הפרצה. למרות זאת, אם אתם משתמשים ב-pgAdmin, אנחנו ממליצים לכם לעדכן את המערכות שלכם בהקדם האפשרי, עקב חומרתה של הפרצה והקלות היחסית בה ניתן לנצל אותה.
אם אין ביכולתכם לבצע את העדכון בקרוב, כדאי לשקול את ביטול האימות באמצעות OAuth 2.0, ולהשתמש באמצעי אימות אחרים עד העדכון לגירסה 8.12 (לפחות).
צעדים נוספים בהם ניתן לנקוט על מנת לחזק את האבטחה שלכם:
- ביצוע סגמנטציה של הרשת שלכם והגבלת הגישה ל-pgAdmin
- ניטור תהליכי OAuth 2.0 וזיהוי של כל פעילות חשודה
- החלפה תכופה של זהויות OAuth 2.0
- הטמעת אמצעי אימות נוספים או חלופיים
נשמח לספק לכם עזרה וסיוע נוספים. צור קשר