Elevación de privilegios: Otorgamiento de privilegios excesivos de AlloyDB

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Se otorgaron todos los privilegios sobre una base de datos de AlloyDB para PostgreSQL (o todas las funciones o procedimientos en una base de datos) a uno o más usuarios de la base de datos.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

  1. Abre el hallazgo de Privilege Escalation: AlloyDB Over-Privileged Grant, como se indica en Revisa los hallazgos.

  2. En la pestaña Resumen del panel de detalles del hallazgo, revisa la información de las siguientes secciones:

    • Qué se detectó, especialmente los siguientes campos:
      • Nombre visible de la base de datos: Es el nombre de la base de datos en la instancia de AlloyDB para PostgreSQL que se vio afectada.
      • Nombre de usuario de la base de datos: Es el usuario de PostgreSQL que otorgó privilegios excesivos.
      • Consulta de base de datos: Es la consulta de PostgreSQL que se ejecutó y otorgó los privilegios.
      • Beneficiarios de la base de datos: Son los beneficiarios de los privilegios demasiado amplios.
    • Recurso afectado, en especial los siguientes campos:
      • Nombre completo del recurso: Es el nombre del recurso de la instancia de AlloyDB para PostgreSQL que se vio afectada.
      • Nombre completo principal: Es el nombre del recurso de la instancia de AlloyDB para PostgreSQL.
      • Nombre completo del proyecto: Es el proyecto Google Cloud que contiene la instancia de AlloyDB para PostgreSQL.
    • Vínculos relacionados, en especial los siguientes campos:
      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.

  3. Para ver el JSON completo del hallazgo, haz clic en la pestaña JSON.

Paso 2: Revisa los privilegios de la base de datos

  1. Conéctate a la instancia de AlloyDB para PostgreSQL.
  2. Enumera y muestra los privilegios de acceso para lo siguiente:
    • Bases de datos Usa el metacomando \l o \list y verifica qué privilegios se asignan para la base de datos que se indica en Nombre visible de la base de datos (del Paso 1).
    • Funciones o procedimientos Usa el metacomando \df y verifica qué privilegios se asignan a las funciones o los procedimientos en la base de datos que se indica en Nombre visible de la base de datos (del paso 1).

Paso 3: Comprueba los registros

  1. En la consola de Google Cloud , ve al Explorador de registros y haz clic en el vínculo en URI de Cloud Logging (del paso 1). En la página Explorador de registros, se incluyen todos los registros relacionados con la instancia de Cloud SQL pertinente.
  2. En el Explorador de registros, verifica los registros de pgaudit de PostgreSQL, que registran las consultas ejecutadas en la base de datos, con los siguientes filtros:
    • protoPayload.request.database="var class="edit">database"

Paso 4: Investiga los métodos de ataque y respuesta

  1. Revisa la entrada del framework de MITRE ATT&CK para este tipo de resultado: Robo de datos en el servicio web.
  2. Para determinar si se necesitan pasos de solución adicionales, combina los resultados de la investigación con la investigación del MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

  • Comunícate con el propietario de la instancia con permisos excesivos.
  • Considera revocar todos los permisos de los beneficiarios que se enumeran en Beneficiarios de la base de datos hasta que se complete la investigación.
  • Para limitar el acceso a la base de datos (desde Nombre visible de la base de datos del paso 1), revoca los permisos innecesarios de los beneficiarios (desde Beneficiarios de la base de datos del paso 1).

¿Qué sigue?