Microsoft Azure ir atklāta “sliktākā mākoņu ievainojamība, kādu varat iedomāties”

Tālummaiņa / Cosmos DB ir pārvaldīts datu bāzes pakalpojums, ieskaitot relāciju un noSQL datu struktūras, kas pieder Microsoft Azure mākoņa infrastruktūrai.

Mākoņu drošības pakalpojumu sniedzēja vednis paziņot Vakar es atklāju ievainojamību Microsoft Azure pārvaldītās datu bāzes pakalpojumā Cosmos DB, kas piešķīra lasīšanas/rakstīšanas piekļuvi katrai pakalpojuma datu bāzei jebkuram uzbrucējam, kurš atklāja kļūdu un to izmantoja.

Lai gan Wiz ievainojamību, kas nodēvēta par “Chaos DB”, atklāja tikai pirms divām nedēļām, kompānija norāda, ka ievainojamība sistēmā slēpjas “vismaz vairākus mēnešus, iespējams, gadus”.

Slingshot ap Jupiteru

Gadā Microsoft pievienoja atvērtā koda avotu Jupyter piezīmju grāmatiņa Cosmos DB funkcijas. Jupyter piezīmjdatori ir īpaši viegli lietojams mašīnmācīšanās algoritmu ieviešanas veids; Microsoft ir īpaši reklamējis klēpjdatorus kā noderīgu rīku, lai uzlabotu Cosmos DB saglabāto datu vizualizāciju.

Jupyter piezīmjdatora funkcionalitāte tika automātiski iespējota visiem Cosmos DB gadījumiem 2021. gada februārī, taču Wiz uzskata, ka attiecīgā kļūda, iespējams, iet vēl tālāk – iespējams, tik tālu, kad Cosmos DB pirmo reizi ieviesa šo funkciju 2019.

Wiz pagaidām neatklāj visas tehniskās detaļas, taču īsā versija ir tāda, ka nepareiza konfigurācija Jupyter funkcijā paver iespēju izmantot privilēģijas. Šo izmantošanu var ļaunprātīgi izmantot, lai piekļūtu citu Cosmos DB klientu primārajām atslēgām – saskaņā ar Wiz, Kuru Otra Cosmos DB klienta primārā atslēga kopā ar citiem noslēpumiem.

Piekļuve Cosmos DB instances primārajai atslēgai ir “Spēle beigusies”. Ļauj pilnas lasīšanas, rakstīšanas un dzēšanas atļaujas visai datu bāzei, kas pieder šai atslēgai. Ami Luttwak, Wiz galvenais tehnoloģiju virsnieks, to sauc par “sliktāko mākoņu ievainojamību, kādu varat iedomāties”, piebilstot: “Šī ir Azure centrālā datu bāze, un mēs varējām piekļūt jebkurai vēlamajai klientu datu bāzei.”

ilgi dzīves noslēpumi

Atšķirībā no noslēpumiem un pagaidu žetoniem, Cosmos DB primārā atslēga nebeidzas – ja tā jau ir noplūdusi un nav mainīta, uzbrucējs joprojām var izmantot šo atslēgu, lai vilktu, manipulētu vai iznīcinātu datu bāzi pēc gadiem.

Saskaņā ar Wiz teikto, tikai aptuveni 30 procenti no Cosmos DB klientiem nosūtīja e -pastu Microsoft par ievainojamību. E -pasts brīdināja šos lietotājus manuāli pagriezt primāro atslēgu, lai nodrošinātu, ka noplūdušās atslēgas vairs nav noderīgas uzbrucējiem. Šie Cosmos DB klienti ir tie, kuriem nedēļas laikā bija iespējota Jupyter piezīmjdatora funkcionalitāte vai tā, ka Wiz atklāja ievainojamību.

Kopš 2021. gada februāra, kad tika izveidotas visas jaunās Cosmos DB instances ar iespējotu Jupyter piezīmjdatora funkcionalitāti, pakalpojums Cosmos DB automātiski ir atspējojis piezīmjdatora funkcionalitāti, ja tā netiek izmantota pirmo trīs dienu laikā. Tāpēc Cosmos DB klientu skaits bija tik zems – aptuveni 70 procenti klientu Microsoft paziņoja, ka Jupyter tika vai nu atspējots manuāli, vai arī tas tika automātiski atspējots lietošanas trūkuma dēļ.

Diemžēl tas neaptver visu ievainojamības apjomu. Tā kā jebkurš Cosmos DB gadījums ar iespējotu Jupyter bija neaizsargāts un primārā atslēga nav īslaicīgs noslēpums, nav iespējams precīzi zināt, kam ir visu gadījumu atslēgas. Uzbrucējs ar konkrētu mērķi var mierīgi novākt šī mērķa primāro atslēgu, taču nav izdarījis neko pietiekami nepatīkamu, lai to pamanītu (pagaidām).

Mēs arī nevaram izslēgt plašāku ietekmes scenāriju, hipotētiskajam uzbrucējam sākotnējā trīs dienu ievainojamības periodā nokasot primāro atslēgu no katras jaunās Cosmos DB instances un pēc tam saglabājot šīs atslēgas vēlākai lietošanai. Mēs šeit piekrītam Wizam – ja jūsu Cosmos DB instance ir iespējama Sākt Jupyter piezīmjdatora funkcija ir iespējota Pagrieziet tā atslēgas nekavējoties, lai nodrošinātu nepārtrauktu drošību.

Microsoft atbilde

Microsoft atspējoja Chaos DB ievainojamību pirms divām nedēļām – mazāk nekā 48 stundas pēc tam, kad Wiz par to ziņoja privāti. Diemžēl Microsoft nevar patstāvīgi mainīt savu klientu primārās atslēgas; Slogs gulstas uz Cosmos DB klientiem pagriezt viņu atslēgas.

Korporācijai Microsoft nav pierādījumu, ka ļaunprātīgi dalībnieki būtu atraduši un izmantojuši Chaos DB pirms Wiz atklāšanas. “Mēs neesam informēti par to, ka šīs ievainojamības dēļ būtu pieejami dati par klientiem,” teikts paziņojumā, ko Microsoft nosūtīja Bloomberg. Papildus brīdinājumam vairāk nekā 3000 klientu par ievainojamību un norādījumu mazināšanas vadlīnijām Microsoft ir samaksājis Wiz 40 000 ASV dolāru lielu atlīdzību.

READ  Ja lejupielādēsit atjauninājumu, Snapchat pārtrauks krahs

Alexis Wells

"Televīzijas speciālists. Lepna kafijas duncis. Tieksme uz apātijas lēkmēm. Interneta eksperts. Ceļojumu nindzja." <pre id="tw-target-text" class="tw-data-text tw-text-large XcVN5d tw-ta" data-placeholder="Translation"></pre>

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *

Back to top