Spoločnosť Wiz pre zabezpečenie cloudovej infraštruktúry odhalila vo štvrtok podrobnosti o dnes už odstránenej zraniteľnosti databázy Azure Cosmos, ktorú bolo možné potenciálne zneužiť na poskytnutie úplného správcovského prístupu ktorémukoľvek používateľovi platformy Azure k inštanciám databázy iných zákazníkov bez akejkoľvek autorizácie.
Táto chyba, ktorá udeľuje oprávnenia na čítanie, zápis a odstraňovanie, bola nazvaná „Chaos DB“, pričom vedci zo spoločnosti Wiz poznamenali, že „zraniteľnosť má triviálne využitie, ktoré nevyžaduje predchádzajúci prístup do cieľového prostredia a má vplyv na tisíce organizácií, vrátane mnohých spoločností z rebríčka Fortune 500.“
Cosmos DB je proprietárna databáza NoSQL spoločnosti Microsoft, ktorá je inzerovaná ako „plne spravovaná služba“ a „ktorá sa postará o správu databázy pomocou automatickej správy, aktualizácií a opráv.“
Výskumný tím spoločnosti Wiz oznámil Microsoftu problém 12.augusta. Následne výrobca systému Windows podnikol kroky na zmiernenie problému do 48 hodín od zodpovedného odhalenia a okrem toho 17.augusta udelil nálezcom odmenu vo výške 40 000 dolárov.
„Nemáme žiaden náznak, že by externé entity mimo výskumného pracovníka mali prístup k primárnemu kľúču na čítanie a zápis, ktorý je spojený s účtami Azure Cosmos DB,“ uvádza sa vo vyhlásení spoločnosti Microsoft. Vo vyhlásení sa ďalej uvádza, že spoločnosť Microsoft si nie je vedomá žiadneho prístupu k údajom kvôli tejto zraniteľnosti. Účty plne spravovanej databázovej spoločnosti Azure Cosmos DB s povolením v NET alebo firewallom sú chránené ďalšími bezpečnostnými mechanizmami, ktoré zabraňujú riziku neoprávneného prístupu.“
Zneužitie identifikované spoločnosťou Wiz sa týka reťazca zraniteľnosti vo funkcii Jupyter Notebook systému Cosmos DB, ktorá umožňuje protivníkovi získať poverenia zodpovedajúce cieľovému účtu Cosmos DB vrátane primárneho kľúča, ktorý poskytuje prístup k administratívnym zdrojom pre databázový účet.
Vedci uviedli, že pomocou týchto poverení je možné zobrazovať, upravovať a odstraňovať údaje v cieľovom účte Cosmos DB prostredníctvom viacerých kanálov. To znamená, že je potenciálne ovplyvnený akýkoľvek majetok Cosmos DB, ktorý má povolenú funkciu Jupyter Notebook.
Hoci spoločnosť Microsoft upozornila viac ako 30% zákazníkov systému Cosmos DB na tento závažný problém – potenciálne narušenie bezpečnosti, spoločnosť Wiz očakáva, že skutočný počet poškodených zákazníkov bude oveľa vyšší, lebo zraniteľnosť tohto systému je možné zneužiť niekoľko mesiacov.
„Každý zákazník systému Cosmos DB by mal predpokladať, že bol odhalený,“ poznamenali vedci zo spoločnosti Wiz a dodali, že odporúčajú kontrolu všetkých minulých aktivít klientov v účte Cosmos DB. Spoločnosť Microsoft tiež vyzýva svojich zákazníkov, aby regenerovali svoje primárne kľúče Cosmos DB za účelom zníženia akéhokoľvek rizika vyplývajúceho z chyby.
Zanechať komentár