Kritická chyba databázy Cosmos postihla tisíce zákazníkov Microsoft Azure

Spoločnosť Wiz, ktorá sa zaoberá zabezpečením cloudovej infraštruktúry, vo štvrtok odhalila podrobnosti o už opravenej zraniteľnosti databázy Azure Cosmos, ktorá mohla byť potenciálne zneužitá na poskytnutie úplného správcovského prístupu ľubovoľnému používateľovi Azure k inštanciám databáz iných zákazníkov bez akejkoľvek autorizácie.

Chyba, ktorá udeľuje privilégiá na čítanie, zápis a odstraňovanie, bola nazvaná „ChaosDB“, pričom výskumníci spoločnosti Wiz poznamenali, že „zraniteľnosť má triviálne využitie, ktoré nevyžaduje žiadny predchádzajúci prístup do cieľového prostredia a ovplyvňuje tisíce organizácií. vrátane mnohých spoločností z rebríčka Fortune 500.“

Cosmos DB je proprietárna databáza NoSQL od spoločnosti Microsoft, ktorá je propagovaná ako „plne spravovaná služba“, ktorá „berie správu databázy z vašich rúk vďaka automatickej správe, aktualizáciám a opravám“.

Výskumný tím Wiz nahlásil problém spoločnosti Microsoft 12. augusta, potom sa Windows výrobca podnikol kroky na zmiernenie problému do 48 hodín od zodpovedného zverejnenia, okrem toho, že 17. augusta udelil nálezcom odmenu 40 000 dolárov.

„Nemáme žiadne náznaky, že by externé subjekty mimo výskumníka mali prístup k primárnemu kľúču na čítanie a zápis spojenému s vašimi účtami Azure Cosmos DB,“ uviedol Microsoft vo vyhlásení. “Okrem toho si nie sme vedomí žiadneho prístupu k údajom kvôli tejto zraniteľnosti. Účty Azure Cosmos DB s aktivovanou vNET alebo firewallom sú chránené dodatočnými bezpečnostnými mechanizmami, ktoré zabraňujú riziku neoprávneného prístupu.”

Zneužitie identifikované spoločnosťou Wiz sa týka reťazca zraniteľností vo funkcii Jupyter Notebook v Cosmos DB, čo umožňuje protivníkovi získať poverenia zodpovedajúce cieľovému účtu Cosmos DB, vrátane primárneho kľúča, ktorý poskytuje prístup k administratívnym zdrojom pre databázový účet. .

„Pomocou týchto prihlasovacích údajov je možné prezerať, upravovať a mazať údaje v cieľovom účte Cosmos DB prostredníctvom viacerých kanálov,“ uviedli vedci. V dôsledku toho je potenciálne ovplyvnené akékoľvek aktívum Cosmos DB, ktoré má povolenú funkciu Jupyter Notebook.

Hoci spoločnosť Microsoft informovala viac ako 30 % zákazníkov Cosmos DB o možnom narušení bezpečnosti, Wiz očakáva, že skutočný počet bude oveľa vyšší, vzhľadom na to, že túto zraniteľnosť bolo možné zneužiť už niekoľko mesiacov.

“Každý zákazník Cosmos DB by mal predpokladať, že bol odhalený,” poznamenali výskumníci Wiz a dodali, “odporúčame tiež skontrolovať všetky minulé aktivity vo vašom účte Cosmos DB.” Okrem toho spoločnosť Microsoft tiež vyzýva svojich zákazníkov, aby obnovili svoje primárne kľúče Cosmos DB, aby sa znížilo akékoľvek riziko vyplývajúce z chyby.