Microsoft предупреждает клиентов Azure о критической уязвимости Cosmos DB

25
Microsoft просит администраторов Azure Linux вручную исправлять ошибки OMIGOD

Microsoft предупредила тысячи клиентов Azure о том, что устраненная критическая уязвимость, обнаруженная в Cosmos DB, позволяет любому пользователю удаленно управлять базами данных других пользователей, предоставляя им полный доступ администратора без необходимости авторизации.

Azure Cosmos DB – это глобально распределенная и полностью управляемая служба базы данных NoSQL, используемая известными клиентами, включая Mercedes Benz, Symantec, Coca-Cola, Exxon-Mobil и Citrix.

«Microsoft недавно стало известно об уязвимости в Azure Cosmos DB, которая потенциально может позволить пользователю получить доступ к ресурсам другого клиента с помощью первичного ключа чтения-записи учетной записи», – сообщила компания клиентам.

«У нас нет никаких указаний на то, что внешние объекты за пределами исследователя имели доступ к первичному ключу для чтения и записи, связанному с вашей учетной записью (учетными записями) Azure Cosmos DB. Кроме того, мы не знаем о каком-либо доступе к данным из-за этой уязвимости».

Исследовательская группа компании Wiz, занимающейся облачной безопасностью, обнаружившая брешь в системе безопасности, назвала ее ChaosDB и сообщила Microsoft 12 августа 2021 года.

Ошибка позволяла злоумышленникам использовать цепочку ошибок в функции Jupyter Notebook, которая включена по умолчанию и предназначена для помощи клиентам в визуализации данных.

Успешная эксплуатация позволила им получить доступ к учетным данным других пользователей Cosmos DB, включая их первичный ключ, что обеспечило им полный и неограниченный удаленный доступ к базам данных и учетным записям клиентов Microsoft Azure.

«У этой уязвимости есть тривиальный эксплойт, который не требует предварительного доступа к целевой среде и затрагивает тысячи организаций, в том числе многочисленные компании из списка Fortune 500», – заявили исследователи.

Microsoft отключила функцию уязвимой точки входа в течение 48 часов после получения отчета и уведомила более 30% клиентов Cosmos DB о потенциальном нарушении безопасности 26 августа, через две недели после отключения функции Jupyter Notebook с ошибками.

Однако, по данным исследовательской группы Wiz, фактическое количество затронутых клиентов, вероятно, намного больше, поскольку оно, вероятно, включает большинство клиентов Cosmos DB, учитывая, что уязвимость ChaosDB присутствовала и могла использоваться в течение нескольких месяцев до их раскрытия.

Чтобы снизить риск и заблокировать потенциальные атаки, Microsoft советует клиентам Azure повторно создать первичные ключи Cosmos DB, которые могли быть украдены до того, как уязвимая функция была отключена.

Компания также посоветовала клиентам предпринять следующие рекомендуемые действия для дальнейшей защиты своих баз данных Azure Cosmos DB:

  1. Запланируйте регулярную ротацию и регенерацию ваших первичных и вторичных ключей.
  2. В качестве стандартной передовой практики безопасности рассмотрите возможность использования брандмауэра Azure Cosmos DB и интеграции виртуальной сети для управления доступом к вашим учетным записям на сетевом уровне.
  3. Если вы используете API Azure Cosmos DB Core (SQL), рассмотрите возможность использования управления доступом на основе ролей (RBAC) Azure Cosmos DB для проверки подлинности операций с базой данных с помощью Azure Active Directory вместо первичных / вторичных ключей. С RBAC у вас есть возможность полностью отключить первичный / вторичный ключи вашей учетной записи.
  4. Полный обзор средств управления безопасностью, доступных в Azure Cosmos DB, см. В наших базовых показателях безопасности. 

Также рекомендуется просмотреть всю прошлую активность в их учетных записях Cosmos DB, чтобы обнаружить предыдущие попытки использовать эту уязвимость.

Хотя по запросу Microsoft исследователи еще не опубликовали техническую информацию об уязвимости ChaosDB, которая может помочь злоумышленникам создавать свои собственные эксплойты, вскоре они опубликуют полный технический документ. 

Исследовательская группа Wiz также недавно раскрыла новый класс уязвимостей DNS, влияющих на основных провайдеров DNS-as-a-Service (DNSaaS), которые могут позволить злоумышленникам получить доступ к конфиденциальной информации из корпоративных сетей в так называемом «шпионаже на уровне государства». кампании.

График раскрытия информации:

  • 09 августа 2021 г. – Исследовательская группа Wiz впервые воспользовалась ошибкой и получила несанкционированный доступ к учетным записям Cosmos DB.
  • 12 августа 2021 г. – Исследовательская группа Wiz отправила рекомендацию в Microsoft.
  • 14 августа 2021 г. – Исследовательская группа Wiz обнаружила, что уязвимая функция отключена.
  • 16 августа 2021 г. – MSRC подтвердила описанное поведение (дело MSRC 66805).
  • 16 августа 2021 г. – Исследовательская группа Wiz обнаружила, что некоторые полученные учетные данные были отозваны.
  • 17 августа 2021 г. – MSRC присудила вознаграждение в размере 40 000 долларов США за отчет.
  • 23 августа 2021 г. – MSRC подтверждает, что это затронуло несколько тысяч клиентов.
  • 26 августа 2021 г. – публичное раскрытие.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here