Hvis du kjører NoSQL -databaser på Microsofts Azure -sky, er det sannsynlig at du kjører Cosmos DB. Og hvis det er deg, har du problemer. Selv Microsoft hadde innrømmet at denne nylig oppdagede kritiske sårbarheten, ChaosDB, gjør inntrengere i stand til å lese, endre eller slette alle databasene dine.
Oj!
I følge Microsoft-e-posten som beskriver problemet til berørte kunder, har “Microsoft nylig blitt klar over et sårbarhet i Azure Cosmos DB som potensielt kan gi en bruker tilgang til en annen kundes ressurser ved å bruke kontoens primære lese-skrive-nøkkel. Dette sikkerhetsproblemet ble fortrolig rapportert til oss av en ekstern sikkerhetsforsker. Når vi ble klar over dette problemet 12. august 2021, dempet vi sårbarheten umiddelbart. ”
Det er bra fordi ifølge skysikkerhetsfirmaet WIZ, som avdekket ChaosDB -sikkerhetshullet, gir det enhver Azure -bruker full administratortilgang (lese, skrive, slette) til en annen kundes Cosmos DB -forekomster uten autorisasjon. Sårbarheten har en triviell utnyttelse som ikke krever tidligere tilgang til målmiljøet og påvirker tusenvis av organisasjoner, inkludert mange Fortune 500 -selskaper. ”
Hvor triviell er utnyttelsen? Veldig.
I følge WIZ er alt en angriper trenger å gjøre å utnytte en kjede av sårbarheter som er lett å følge i Cosmos DBs Jupyter Notebook. Jupyter Notebook er en åpen kildekode-webapplikasjon som er direkte integrert med Azure-portalen og Cosmos DB-kontoene. Den lar deg lage og dele dokumenter som inneholder levende kode, ligninger, visualiseringer og fortellende tekst. Hvis det høres ut som mye tilgang til å gi et webprogram, har du rett.
Så ille som det er, når du har tilgang til Jupyter Notebook, kan du skaffe legitimasjonen til målet Cosmos DB -kontoen, inkludert databasenes hovednøkkel. Bevæpnet med disse legitimasjonene, kan en angriper se, endre og slette data i målet Cosmos DB -kontoen på flere måter.
For å lappe dette hullet må du regenerere og rotere dine primære lese-skrive Cosmos DB-nøkler for hver av de berørte Azure Cosmos DB-kontoene. Det er lett nok. Og, hevder Microsoft, selv om dette sikkerhetsproblemet er dårlige nyheter, trenger du ikke bekymre deg så mye om det. Microsoft uttaler:
Vi har ingen indikasjoner på at eksterne enheter utenfor forskeren hadde tilgang til den primære lese-skrive-nøkkelen knyttet til Azure Cosmos DB-kontoen (e). I tillegg er vi ikke klar over noen datatilgang på grunn av dette sikkerhetsproblemet. Azure Cosmos DB -kontoer med et vNET eller en brannmur er beskyttet av flere sikkerhetsmekanismer som forhindrer [risikoen for uautorisert tilgang. Av en overflod av forsiktighet, varsler vi deg om å ta følgende tiltak som et forebyggende tiltak.
WIZ er ikke så optimistisk. Mens de var enige om at Microsofts sikkerhet tok umiddelbare tiltak for å fikse problemet og deaktiverte den sårbare funksjonen innen 48 timer etter at de ble fortalt om ChaosDB, påpeker forskerne at “sårbarheten har vært utnyttbar i flere måneder, og hver Cosmos DB -kunde bør anta at de har vært utsatt.”
Jeg er enig. Det er langt bedre å være trygg enn å beklage når du arbeider med et sikkerhetshull av denne størrelsen og størrelsen.
Relaterte historier:
Inside Microsofts Cosmos DBMicrosoft kunngjør nye ransomware -gjenkjenningsfunksjoner for AzureMicrosoft bringer Azure Government Top Secret inn i GA
Relaterte emner:
Cloud Sikkerhet TV Datahåndtering CXO datasentre 