Hvis du kører NoSQL -databaser på Microsofts Azure -sky, er der stor sandsynlighed for, at du kører Cosmos DB. Og hvis det er dig, er du i problemer. Selv Microsoft havde indrømmet, at denne nyopdagede kritiske sårbarhed, ChaosDB, gør det muligt for ubudne gæster at læse, ændre eller endda slette alle dine databaser.
Uh!
Ifølge Microsoft-e-mailen, der beskriver problemet til berørte kunder, “har Microsoft for nylig blevet opmærksom på en sårbarhed i Azure Cosmos DB, der muligvis kan give en bruger adgang til en anden kundes ressourcer ved at bruge kontoens primære læse-skrive-nøgle. Denne sårbarhed blev fortroligt rapporteret til os af en ekstern sikkerhedsforsker. Da vi blev opmærksom på dette problem den 12. august 2021, afbød vi straks sårbarheden. ”
Det er en god ting, for ifølge cloud -sikkerhedsfirmaet WIZ, der afdækkede ChaosDB -sikkerhedshullet, giver det enhver Azure -bruger fuld adminadgang (læs, skriv, slet) til en anden kundes Cosmos DB -forekomster uden autorisation. Sårbarheden har en triviel udnyttelse, der ikke kræver nogen tidligere adgang til målmiljøet og påvirker tusinder af organisationer, herunder mange Fortune 500 -virksomheder. ”
Hvor triviel er udnyttelsen? Meget.
Ifølge WIZ er alt, hvad en angriber skal gøre, at udnytte en let at følge kæde af sårbarheder i Cosmos DB's Jupyter Notebook. Jupyter Notebook er en open-source webapplikation, der er direkte integreret med din Azure-portal og Cosmos DB-konti. Det giver dig mulighed for at oprette og dele dokumenter, der indeholder live -kode, ligninger, visualiseringer og fortælletekst. Hvis det lyder som meget adgang til at give til en webapplikation, har du ret, det er det.
Så slemt som det er, når du først har adgang til Jupyter -notesbogen, kan du hente legitimationsoplysningerne for Cosmos DB -kontoen, herunder databasernes primære nøgle. Bevæbnet med disse legitimationsoplysninger kan en angriber se, ændre og slette data på mål -Cosmos DB -kontoen på flere måder.
For at lappe dette hul skal du regenerere og rotere dine primære læse-skrive Cosmos DB-nøgler for hver af de berørte Azure Cosmos DB-konti. Det er let nok. Og, hævder Microsoft, mens denne sårbarhed er dårlige nyheder, behøver du ikke bekymre dig så meget om det. Microsoft siger:
Vi har ingen indikationer på, at eksterne enheder uden for forskeren havde adgang til den primære læse-skrive-nøgle, der er knyttet til dine Azure Cosmos DB-konti. Derudover er vi ikke bekendt med nogen dataadgang på grund af denne sårbarhed. Azure Cosmos DB -konti med et vNET eller en firewall aktiveret er beskyttet af yderligere sikkerhedsmekanismer, der forhindrer [risikoen for uautoriseret adgang. Af en overflod af forsigtighed giver vi dig besked om at tage følgende foranstaltninger som en sikkerhedsforanstaltning.
WIZ er ikke så optimistisk. Mens de var enige om, at Microsofts sikkerhed tog øjeblikkelig handling for at løse problemet og deaktiverede den sårbare funktion inden for 48 timer efter at have fået at vide om ChaosDB, påpeger forskerne, at “sårbarheden har været udnyttet i flere måneder, og hver Cosmos DB -kunde burde antage, at de har været afsløret. ”
Jeg er enig. Det er langt bedre at være sikker end undskyld, når man beskæftiger sig med et sikkerhedshul af denne størrelse og størrelse.
Relaterede historier:
Inde i Microsofts Cosmos DBMicrosoft annoncerer nye funktioner til registrering af ransomware til AzureMicrosoft bringer Azure Government Top Secret ind i GA
Relaterede emner:
Cloud Sikkerhed TV Datahåndtering CXO datacentre 