Microsoft делится руководством по защите учетных записей Azure Cosmos DB

31
Взломанные сайты подталкивают TeamViewer с помощью оповещения о поддельном сертификате с истекшим сроком действия

Microsoft выпустила руководство по защите учетных записей Azure, на которые может повлиять недавно устраненная критическая уязвимость Cosmos DB, предоставляя злоумышленникам полные права администратора на данные пользователей без авторизации.

Недостаток, получивший название ChaosDB , влияет на Microsoft Azure Cosmos DB , глобально распределенную службу баз данных NoSQL, используемую широким кругом высокопоставленных клиентов, включая Exxon-Mobil, Mercedes Benz, Symantec, Coca-Cola и Citrix.

Ошибка безопасности была обнаружена исследовательской группой фирмы Wiz, занимающейся облачной безопасностью, в функции Jupyter Notebook (по умолчанию включена).

Успешная эксплуатация позволила любому пользователю украсть первичные ключи чтения-записи клиентов, что сделало возможным эффективное удаленное управление их базами данных.

Более 30% клиентов Cosmos DB уведомлены о потенциальном нарушении

Microsoft заявляет, что «сразу же уменьшила уязвимость» после получения отчета Wiz (временная шкала исследователей показывает, что ошибка была исправлена ​​в течение 48 часов после раскрытия информации).

Компания также уведомила более 30% клиентов Cosmos DB о потенциальном нарушении безопасности 26 августа, через две недели после отключения ошибочной функции Jupyter Notebook на стороне сервера.

Однако, по словам Виз, фактическое количество затронутых клиентов, вероятно, намного больше, поскольку оно будет включать большинство клиентов Cosmos DB, учитывая, что ChaosDB присутствовал и мог использоваться в течение нескольких месяцев до раскрытия информации.

«Наше расследование показывает, что третьи стороны или исследователи безопасности не получили доступ к данным клиентов из-за этой уязвимости», – заявила Microsoft в пятницу.

«Если вы не получили электронное письмо или уведомление на портале, нет никаких доказательств того, что какие-либо другие внешние стороны имели доступ к вашему основному ключу учетной записи для чтения и записи».

Как заблокировать использование украденных учетных данных

Чтобы снизить риск и заблокировать злоумышленников, которые могли украсть ваши первичные ключи для чтения и записи Cosmos DB до того, как уязвимая функция была отключена, Microsoft рекомендует повторно создать ключи Cosmos DB.

В качестве передового метода для дальнейшей защиты учетной записи Azure Cosmos DB Microsoft также выпустила следующие рекомендации:

  1. Все клиенты Azure Cosmos DB используют в  своей учетной записи комбинацию  правил брандмауэра,  виртуальyой сети и / или  частной ссылки Azure . Эти механизмы защиты сети предотвращают доступ из-за пределов вашей сети и из неожиданных мест. 
  2. Помимо реализации средств контроля сетевой безопасности, мы поощряем использование  контроля доступа на основе ролей. Контроль доступа на основе ролей позволяет управлять доступом к Azure Cosmos DB для каждого пользователя и субъекта безопасности – эти удостоверения можно проверять в журналах диагностики Azure Cosmos DB. 
  3. Если вы не можете использовать контроль доступа на основе ролей, мы рекомендуем регулярно выполнять запланированную  ротацию ключей
  4. Дополнительные рекомендации по безопасности можно найти в  документации по базовому уровню безопасности Azure Cosmos DB . 

Microsoft также добавила, что она включает дополнительные меры безопасности и мониторинг для обнаружения будущих попыток получить доступ к учетным записям своих клиентов Cosmos DB без авторизации.

Клиентам также рекомендуется включать диагностический журнал и  Защитник Azure,  если они доступны, чтобы упростить обнаружение подозрительной активности, исходящей от необычных IP-адресов.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) также призвало клиентов Azure Cosmos DB менять свои ключи и проверять рекомендации Microsoft о том, как защитить доступ к данным в Azure Cosmos DB .

«Хотя неправильная конфигурация, похоже, была исправлена ​​в облаке Azure, CISA настоятельно рекомендует клиентам Azure Cosmos DB обновлять и восстанавливать свои ключи сертификатов», – заявило агентство по кибербезопасности .

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here