Se stai eseguendo database NoSQL sul cloud Azure di Microsoft, è probabile che tu stia eseguendo Cosmos DB. E, se sei tu, sei nei guai. Persino Microsoft ha ammesso che questa vulnerabilità critica scoperta di recente, ChaosDB, consente agli intrusi di leggere, modificare o persino eliminare tutti i database.
Ahi!
Secondo l'e-mail di Microsoft che descrive il problema ai clienti interessati, “Microsoft è recentemente venuta a conoscenza di una vulnerabilità in Azure Cosmos DB che potrebbe potenzialmente consentire a un utente di accedere alle risorse di un altro cliente utilizzando la chiave di lettura-scrittura primaria dell'account. Questa vulnerabilità ci è stato segnalato in via confidenziale da un ricercatore di sicurezza esterno. Quando siamo venuti a conoscenza di questo problema il 12 agosto 2021, abbiamo mitigato immediatamente la vulnerabilità”.
Questa è una buona cosa perché secondo la società di sicurezza cloud, WIZ, che ha scoperto la falla di sicurezza ChaosDB, “offre a qualsiasi utente di Azure l'accesso completo all'amministratore (lettura, scrittura, eliminazione) alle istanze Cosmos DB di un altro cliente senza autorizzazione. La vulnerabilità ha un exploit banale che non richiede alcun accesso precedente all'ambiente di destinazione e ha un impatto su migliaia di organizzazioni, incluse numerose aziende Fortune 500.”
Quanto è banale l'exploit? Molto.
Secondo WIZ, tutto ciò che un aggressore deve fare è sfruttare una catena di vulnerabilità facile da seguire nel Jupyter Notebook di Cosmos DB. Jupyter Notebook è un'applicazione Web open source direttamente integrata con il portale di Azure e gli account Cosmos DB. Ti consente di creare e condividere documenti che contengono codice live, equazioni, visualizzazioni e testo narrativo. Se questo suona come un sacco di accesso da dare a un'applicazione web, hai ragione, lo è.
Per quanto grave, una volta che hai accesso a Jupyter Notebook, puoi ottenere le credenziali dell'account Cosmos DB di destinazione, inclusa la chiave primaria dei database. Armato di queste credenziali, un utente malintenzionato può visualizzare, modificare ed eliminare i dati nell'account Cosmos DB di destinazione in più modi.
Per correggere questo buco, devi rigenerare e ruotare le tue chiavi principali di lettura-scrittura Cosmos DB per ciascuno degli account Azure Cosmos DB interessati. È abbastanza facile. E, afferma Microsoft, anche se questa vulnerabilità è una cattiva notizia, non devi preoccuparti così tanto. Microsoft afferma:
Non abbiamo indicazioni che entità esterne al di fuori del ricercatore abbiano accesso alla chiave di lettura-scrittura primaria associata agli account di Azure Cosmos DB. Inoltre, non siamo a conoscenza di alcun accesso ai dati a causa di questa vulnerabilità. Gli account di Azure Cosmos DB con vNET o firewall abilitato sono protetti da meccanismi di sicurezza aggiuntivi che impediscono [il] rischio di accesso non autorizzato. Per precauzione, ti informiamo di intraprendere le seguenti azioni come misura precauzionale.
WIZ non è così ottimista. Pur concordando sul fatto che la sicurezza di Microsoft abbia intrapreso un'azione immediata per risolvere il problema e disabilitato la funzione vulnerabile entro 48 ore dalla comunicazione di ChaosDB, i ricercatori sottolineano che “la vulnerabilità è stata sfruttabile per mesi e ogni cliente Cosmos DB dovrebbe presumere di essere stato esposto.”
Sono d'accordo. È molto meglio prevenire che curare quando si ha a che fare con una falla di sicurezza di queste dimensioni e grandezza.
Storie correlate:
Inside Microsoft's Cosmos DBMicrosoft annuncia nuove funzionalità di rilevamento ransomware per AzureMicrosoft introduce Azure Government Top Secret in GA
Argomenti correlati:
Cloud Security TV Data Management CXO Data Center 