Om du kör NoSQL -databaser i Microsofts Azure -moln är chansen stor att du kör Cosmos DB. Och om det är du har du problem. Även Microsoft hade medgett att denna nyupptäckta kritiska sårbarhet, ChaosDB, gör det möjligt för inkräktare att läsa, ändra eller till och med radera alla dina databaser.
Oj!
Enligt Microsoft-e-postmeddelandet som beskriver problemet för berörda kunder, “har Microsoft nyligen fått kännedom om en sårbarhet i Azure Cosmos DB som potentiellt kan tillåta en användare att få åtkomst till en annan kunds resurser genom att använda kontoens primära läs- och skrivnyckel. Denna sårbarhet rapporterades till oss i förtroende av en extern säkerhetsforskare. När vi väl fick kännedom om detta problem den 12 augusti 2021 dämpade vi sårbarheten omedelbart. ”
Det är bra eftersom det enligt molnsäkerhetsföretaget WIZ, som avslöjade ChaosDB -säkerhetshålet, “ger alla Azure -användare fullständig administratörsåtkomst (läs, skriv, ta bort) till en annan kunds Cosmos DB -instanser utan tillstånd. Sårbarheten har en trivial exploatering som inte kräver någon tidigare åtkomst till målmiljön och påverkar tusentals organisationer, inklusive många Fortune 500 -företag. ”
Hur trivial är exploateringen? Mycket.
Enligt WIZ är allt en angripare behöver göra att utnyttja en lätt att följa kedja av sårbarheter i Cosmos DB: s Jupyter Notebook. Jupyter Notebook är ett webbprogram med öppen källkod som är direkt integrerat med din Azure-portal och Cosmos DB-konton. Det låter dig skapa och dela dokument som innehåller live -kod, ekvationer, visualiseringar och berättande text. Om det låter som mycket tillgång att ge till en webbapplikation har du rätt, det är det.
Så illa som det är, när du väl har tillgång till Jupyter Notebook kan du skaffa in uppgifterna för Cosmos DB -kontot, inklusive databasernas primära nyckel. Beväpnad med dessa uppgifter kan en angripare se, ändra och ta bort data i målet Cosmos DB -konto på flera sätt.
För att korrigera det här hålet måste du regenerera och rotera dina primära läs-skriv Cosmos DB-nycklar för vart och ett av de påverkade Azure Cosmos DB-kontona. Det är lätt nog. Och, hävdar Microsoft, även om denna sårbarhet är dåliga nyheter, behöver du inte oroa dig så mycket för det. Microsoft säger:
Vi har ingen indikation på att externa enheter utanför forskaren hade tillgång till den primära läs- och skrivnyckeln som är associerad med dina Azure Cosmos DB-konton. Dessutom känner vi inte till datatillgång på grund av denna sårbarhet. Azure Cosmos DB -konton med ett vNET eller en brandvägg är skyddade av ytterligare säkerhetsmekanismer som förhindrar risken för obehörig åtkomst. Av en mängd försiktighet meddelar vi dig att vidta följande åtgärder som en försiktighetsåtgärd.
WIZ är inte så optimistisk. Samtidigt som de håller med om att Microsofts säkerhet vidtagit omedelbara åtgärder för att åtgärda problemet och inaktiverade den sårbara funktionen inom 48 timmar efter att ha fått veta om ChaosDB, påpekar forskarna att “sårbarheten har varit utnyttjbar i månader och varje Cosmos DB -kund bör anta att de har varit utsatt.”
Jag håller med. Det är mycket bättre att vara säker än ledsen när man hanterar ett säkerhetshål av denna storlek och storlek.
Relaterade berättelser:
Inuti Microsofts Cosmos DBMicrosoft tillkännager nya funktioner för upptäckt av ransomware för AzureMicrosoft ger Azure Government Top Secret till GA
Relaterade ämnen:
Cloud Säkerhet TV Datahantering CXO Datacenter 