Als u NoSQL-databases gebruikt op de Azure-cloud van Microsoft, is de kans groot dat u Cosmos DB gebruikt. En als jij dat bent, zit je in de problemen. Zelfs Microsoft had toegegeven dat deze nieuw ontdekte kritieke kwetsbaarheid, ChaosDB, indringers in staat stelt al uw databases te lezen, te wijzigen of zelfs te verwijderen.
Auw!
Volgens de e-mail van Microsoft waarin het probleem aan getroffen klanten wordt beschreven: “Microsoft is zich onlangs bewust geworden van een kwetsbaarheid in Azure Cosmos DB waardoor een gebruiker mogelijk toegang kan krijgen tot de bronnen van een andere klant door de primaire lees-schrijfsleutel van het account te gebruiken. Dit beveiligingslek werd ons in vertrouwen gemeld door een externe beveiligingsonderzoeker. Toen we op 12 augustus 2021 op de hoogte waren van dit probleem, hebben we de kwetsbaarheid onmiddellijk verholpen.”
Dat is een goede zaak, want volgens het cloudbeveiligingsbedrijf WIZ, dat het ChaosDB-beveiligingslek aan het licht heeft gebracht, “geeft het elke Azure-gebruiker volledige beheerderstoegang (lezen, schrijven, verwijderen) tot de Cosmos DB-instanties van een andere klant zonder autorisatie. Het beveiligingslek heeft een triviale exploit die geen eerdere toegang tot de doelomgeving vereist en gevolgen heeft voor duizenden organisaties, waaronder talloze Fortune 500-bedrijven.”
Hoe triviaal is de exploit? Heel.
Volgens WIZ hoeft een aanvaller alleen maar misbruik te maken van een eenvoudig te volgen reeks kwetsbaarheden in Cosmos DB's Jupyter Notebook. Jupyter Notebook is een open-source webtoepassing die rechtstreeks is geïntegreerd met uw Azure Portal- en Cosmos DB-accounts. Hiermee kunt u documenten maken en delen die live code, vergelijkingen, visualisaties en verhalende tekst bevatten. Als dat klinkt als veel toegang om een webapplicatie te geven, dan heb je gelijk, dat is het ook.
Hoe erg dat ook is, als u eenmaal toegang hebt tot de Jupyter Notebook, kunt u de inloggegevens van het doel-Cosmos DB-account verkrijgen, inclusief de primaire sleutel van de database. Gewapend met deze referenties kan een aanvaller op meerdere manieren gegevens in het doel-Cosmos DB-account bekijken, wijzigen en verwijderen.
Als u dit gat wilt dichten, moet u uw primaire Cosmos DB-sleutels voor lezen en schrijven opnieuw genereren en roteren voor elk van de getroffen Azure Cosmos DB-accounts. Dat is gemakkelijk genoeg. En, zo beweert Microsoft, hoewel deze kwetsbaarheid slecht nieuws is, hoef je je er niet zoveel zorgen over te maken. Microsoft stelt:
We hebben geen indicatie dat externe entiteiten buiten de onderzoeker toegang hadden tot de primaire lees-schrijfsleutel die is gekoppeld aan uw Azure Cosmos DB-account(s). Bovendien zijn we vanwege dit beveiligingslek niet op de hoogte van gegevenstoegang. Azure Cosmos DB-accounts waarvoor een vNET of firewall is ingeschakeld, worden beschermd door aanvullende beveiligingsmechanismen die [het] risico van ongeautoriseerde toegang voorkomen. Uit voorzorg informeren we u dat u als voorzorgsmaatregel de volgende maatregelen moet nemen.
WIZ is niet zo optimistisch. Hoewel de onderzoekers het erover eens zijn dat de beveiliging van Microsoft onmiddellijk actie heeft ondernomen om het probleem op te lossen en de kwetsbare functie heeft uitgeschakeld binnen 48 uur nadat ze over ChaosDB zijn geïnformeerd, wijzen de onderzoekers erop dat “de kwetsbaarheid al maanden misbruikt kan worden en elke Cosmos DB-klant moet aannemen dat ze zijn blootgesteld.”
Ik ga akkoord. Het is veel beter om veilig te zijn dan sorry als je te maken hebt met een beveiligingslek van deze omvang en omvang.
Verwante verhalen:
Inside Microsoft's Cosmos DBMicrosoft kondigt nieuwe ransomware-detectiefuncties voor AzureMicrosoft brengt Azure Government Top Secret in GA
Verwante onderwerpen:
Cloud Beveiliging Tv-gegevensbeheer CXO-datacenters 