Mākoņu drošības pakalpojumu sniedzēja vednis paziņot Vakar es atklāju ievainojamību Microsoft Azure pārvaldītās datu bāzes pakalpojumā Cosmos DB, kas piešķīra lasīšanas/rakstīšanas piekļuvi katrai pakalpojuma datu bāzei jebkuram uzbrucējam, kurš atklāja kļūdu un to izmantoja.
Lai gan Wiz ievainojamību, kas nodēvēta par “Chaos DB”, atklāja tikai pirms divām nedēļām, kompānija norāda, ka ievainojamība sistēmā slēpjas “vismaz vairākus mēnešus, iespējams, gadus”.
Slingshot ap Jupiteru
-
Jupyter piezīmjdatora funkcionalitāte CosmosDB nodrošina daudzas uzlabotas datu vizualizācijas metodes ar salīdzinoši nelielu kodēšanas pieredzi vai piepūli.
-
Privilēģiju palielināšanas ievainojamība ļāva ikvienam, kam ir Cosmos DB konts, deponēt jebkura cita Cosmos DB konta privāto atslēgu, izmantojot Jupyter virsgrāmatas funkciju.
-
Kad uzbrucējam ir upura primārā atslēga, spēle ir beigusies – pilnīga lasīšanas/rakstīšanas/dzēšanas piekļuve tiek piešķirta neatgriezeniski, un to nevar atsaukt, neaizvietojot ietekmētās atslēgas.
Gadā Microsoft pievienoja atvērtā koda avotu Jupyter piezīmju grāmatiņa Cosmos DB funkcijas. Jupyter piezīmjdatori ir īpaši viegli lietojams mašīnmācīšanās algoritmu ieviešanas veids; Microsoft ir īpaši reklamējis klēpjdatorus kā noderīgu rīku, lai uzlabotu Cosmos DB saglabāto datu vizualizāciju.
Jupyter piezīmjdatora funkcionalitāte tika automātiski iespējota visiem Cosmos DB gadījumiem 2021. gada februārī, taču Wiz uzskata, ka attiecīgā kļūda, iespējams, iet vēl tālāk – iespējams, tik tālu, kad Cosmos DB pirmo reizi ieviesa šo funkciju 2019.
Wiz pagaidām neatklāj visas tehniskās detaļas, taču īsā versija ir tāda, ka nepareiza konfigurācija Jupyter funkcijā paver iespēju izmantot privilēģijas. Šo izmantošanu var ļaunprātīgi izmantot, lai piekļūtu citu Cosmos DB klientu primārajām atslēgām – saskaņā ar Wiz, Kuru Otra Cosmos DB klienta primārā atslēga kopā ar citiem noslēpumiem.
Piekļuve Cosmos DB instances primārajai atslēgai ir “Spēle beigusies”. Ļauj pilnas lasīšanas, rakstīšanas un dzēšanas atļaujas visai datu bāzei, kas pieder šai atslēgai. Ami Luttwak, Wiz galvenais tehnoloģiju virsnieks, to sauc par “sliktāko mākoņu ievainojamību, kādu varat iedomāties”, piebilstot: “Šī ir Azure centrālā datu bāze, un mēs varējām piekļūt jebkurai vēlamajai klientu datu bāzei.”
ilgi dzīves noslēpumi
Atšķirībā no noslēpumiem un pagaidu žetoniem, Cosmos DB primārā atslēga nebeidzas – ja tā jau ir noplūdusi un nav mainīta, uzbrucējs joprojām var izmantot šo atslēgu, lai vilktu, manipulētu vai iznīcinātu datu bāzi pēc gadiem.
Saskaņā ar Wiz teikto, tikai aptuveni 30 procenti no Cosmos DB klientiem nosūtīja e -pastu Microsoft par ievainojamību. E -pasts brīdināja šos lietotājus manuāli pagriezt primāro atslēgu, lai nodrošinātu, ka noplūdušās atslēgas vairs nav noderīgas uzbrucējiem. Šie Cosmos DB klienti ir tie, kuriem nedēļas laikā bija iespējota Jupyter piezīmjdatora funkcionalitāte vai tā, ka Wiz atklāja ievainojamību.
Kopš 2021. gada februāra, kad tika izveidotas visas jaunās Cosmos DB instances ar iespējotu Jupyter piezīmjdatora funkcionalitāti, pakalpojums Cosmos DB automātiski ir atspējojis piezīmjdatora funkcionalitāti, ja tā netiek izmantota pirmo trīs dienu laikā. Tāpēc Cosmos DB klientu skaits bija tik zems – aptuveni 70 procenti klientu Nē Microsoft paziņoja, ka Jupyter tika vai nu atspējots manuāli, vai arī tas tika automātiski atspējots lietošanas trūkuma dēļ.
Diemžēl tas neaptver visu ievainojamības apjomu. Tā kā jebkurš Cosmos DB gadījums ar iespējotu Jupyter bija neaizsargāts un primārā atslēga nav īslaicīgs noslēpums, nav iespējams precīzi zināt, kam ir visu gadījumu atslēgas. Uzbrucējs ar konkrētu mērķi var mierīgi novākt šī mērķa primāro atslēgu, taču nav izdarījis neko pietiekami nepatīkamu, lai to pamanītu (pagaidām).
Mēs arī nevaram izslēgt plašāku ietekmes scenāriju, hipotētiskajam uzbrucējam sākotnējā trīs dienu ievainojamības periodā nokasot primāro atslēgu no katras jaunās Cosmos DB instances un pēc tam saglabājot šīs atslēgas vēlākai lietošanai. Mēs šeit piekrītam Wizam – ja jūsu Cosmos DB instance ir iespējama Sākt Jupyter piezīmjdatora funkcija ir iespējota Pagrieziet tā atslēgas nekavējoties, lai nodrošinātu nepārtrauktu drošību.
Microsoft atbilde
Microsoft atspējoja Chaos DB ievainojamību pirms divām nedēļām – mazāk nekā 48 stundas pēc tam, kad Wiz par to ziņoja privāti. Diemžēl Microsoft nevar patstāvīgi mainīt savu klientu primārās atslēgas; Slogs gulstas uz Cosmos DB klientiem pagriezt viņu atslēgas.
kā Korporācijai Microsoft nav pierādījumu, ka ļaunprātīgi dalībnieki būtu atraduši un izmantojuši Chaos DB pirms Wiz atklāšanas. “Mēs neesam informēti par to, ka šīs ievainojamības dēļ būtu pieejami dati par klientiem,” teikts paziņojumā, ko Microsoft nosūtīja Bloomberg. Papildus brīdinājumam vairāk nekā 3000 klientu par ievainojamību un norādījumu mazināšanas vadlīnijām Microsoft ir samaksājis Wiz 40 000 ASV dolāru lielu atlīdzību.
/cdn.vox-cdn.com/uploads/chorus_asset/file/24517269/Still025.jpg)
