Chaosdb: основной недостаток безопасности в Azure COSMOS DB выставил данные клиентов в течение многих лет

Кибербезопасность была головной болью для Microsoft за последние несколько месяцев. В то время как компания выдвигает нулевые модели безопасности для клиентов, чтобы клиенты были принять, некоторые из его собственного программного обеспечения выставляют данные по общедоступному интернету. Недавно мы узнали, что конфигурация по умолчанию в порталах Microsoft Power Apps оставила 38 миллионов записей — включая конфиденциальную информацию — открытую для общественности, и теперь кажется, что аналогичный недостаток безопасности в Azure подвергшимся воздействию данных из нескольких клиентов Fortune 500.

Security Firm Wiz подробно описал эксплуатацию, который позволил ему неограниченный доступ к базам данных, принадлежащим тысячам клиентов Azure. Смена Chaosdb, атака может быть вызвана с помощью конфигурации по умолчанию, присутствующей в Azure Cosmos DB. В 2019 году Microsoft представила ноутбук Jupyter для Azure COSMOS DB и позволил по умолчанию по умолчанию для всех клиентов в феврале 2021 года. Из-за неправильного производства, присутствующих в этой возможности, Wiz смог получить доступ к вектору атаки, вызвать эскалацию привилегии, разбить контейнер на ноутбу, и получить доступ к первичным ключам, размещенным COSMOS DB, а также токеном доступа к хранению Blob ноутбука. Затем они использовались для получения доступа администратора ко всем данным, размещенным за счет воздействия счетов. Ключи также могут быть выведены, чтобы данные могли быть манипулируемыми по общему Интернету.

Wiz открыл уязвимость 9 августа и сообщил о его Microsoft 12 августа. Редмонд Tech Giant, как сообщается, отключил ноутбук Jupyter в Cosmos DB через 48 часов после отчета Wiz. Reuters дополнительно сообщает, что сегодня Microsoft исправлена ​​проблема и начала информировать клиентов, что они должны начать вращать свои (предполагаемые) частные ключи. Электронная почта от компании для пострадавших клиентов гласит:

Мы сразу исправили эту проблему, чтобы сохранить наших клиентов в безопасности и защищенных и защищенных. Мы благодарим исследователей безопасности для работы в рамках скоординированного раскрытия уязвимости.

[…] У нас нет никаких признаков того, что внешние объекты за пределами исследователя (Wiz) имели доступ к основной записи чтения.

Wiz предупредил, что, хотя Microsoft теперь исправлена ​​проблема, важно, чтобы клиенты вращали свои ключи, потому что их существующие ключи все еще могут быть использованы для доступа к их данным. Исследователь Безопасности утверждает, что каждый счет COSMOS DB, созданный после 2021 года по 2021 год, либо использовал ноутбук Jupyter, поскольку его запуск пострадал. Это, по сути означает, что уязвимость, возможно, подвергалась выставлению данных более двух лет для многих клиентов Azure. Wiz был награжден Bounty на 40 000 долларов Microsoft для открытия проблемы и в частном порядке, раскрывающем его в Tech Giant.

Добавить комментарий

Ваш адрес email не будет опубликован