AzurePostgreSQL中存在跨账户数据库漏洞

各类组织使用云服务的前提是各家的账户都是独立的，特别是像数据库这样的高价值资产，是与其他客户隔离的。

Wiz Research 在目前已被广泛使用的 Azure 数据库 PostgreSQL 服务器中发现了一系列关键漏洞。这个被称为 ExtraReplica 的漏洞允许对其他客户的 PostgreSQL 数据库进行未经授权的读取访问，绕过隔离保护。如果被利用，攻击者可能已经复制并获得对 Azure PostgreSQL 服务器客户数据库的读取权限。

Wiz Research 于 2022 年 1 月向微软披露了 ExtraReplica。目前，微软确认该漏洞已完全缓解，Azure 客户无需采取任何行动。微软表示，他们不知道有任何利用此漏洞的企图。

根据微软的说法，该漏洞不会影响单服务器或具有显式 VNet 网络配置 ( 私有访问 ) 的服务器。在这篇文章中，我们将介绍整个攻击流程，从分析潜在的攻击面到完整的攻击，以及如何最终绕过云隔离模型。看完本文你就会知道：

3. 在服务的身份验证过程中发现了第二个漏洞：由于正则表达式末尾的通配符 ( .* ) 导致的证书通用名 ( CN ) 的正则表达式验证过度允许我们登录到目标 PostgreSQL 示例使用颁发给任意域的证书。注意正则表达式末尾的错误，在此处标记：/^ ( .*？( .* ) $/

我们之前在 Azure Cosmos DB 中发现了漏洞。我们能否在其他 Azure 服务中重现类似漏洞？

在 2021 年的 Black Hat Europe 大会上，我们展示了 ChaosDB：我们如何入侵了成千上万的 Azure 客户的数据库 ，该文说明了如何通过 Azure Cosmos DB 中的一系列错误配置来不受限制地访问 Microsoft Azure 客户的数据库。在之前的研究中，我们的出发点是在内部 Azure 环境中的 Jupyter Notebook 示例上运行任意代码。我们发现 Jupyter Notebook 示例可以通过网络访问内部管理 API，从而向内部 Azure 组件打开攻击向量。

在 Black Hat 之后，我们想知道它是否可能成为一种模式，以及其他为客户提供专用的虚拟机 ( 作为内部 Azure 环境的一部分 ) 的托管服务是否也可以被敏感的网络组件访问。

2. 一种允许我们执行代码的服务，可以作为服务标准功能的一部分，也可以通过新发现的漏洞执行。如果我们可以使用漏洞执行代码，我们将更有可能找到一个不那么严格的环境，因为服务开发人员可能不希望用户在那里运行他们的代码。

如上所述，我们的第一个想法是瞄准云管理的数据库服务。云服务提供商 ( CSP ) 以托管服务的形式向客户提供多种开源和商业数据库解决方案。这些数据库示例运行在 CSP 拥有和运行的内部云环境中，通常不属于用户的云环境。此外，大多数数据库解决方案提供了执行运行系统级命令的功能，这正是我们正在寻找的。

PostgreSQL 服务器几乎具有上述所有属性：它很受欢迎，包含敏感数据，而且它的所有示例似乎都在内部 Azure 环境中运行。 PostgreSQL 是一个大项目；它比其他数据库解决方案复杂且提供更多功能。

PostgreSQL 是一个强大的、开源的、成熟的对象关系数据库，成千上万的组织使用它来存储不同类型的数据。它以其经