Assistente de fornecedor de segurança em nuvem anunciar Ontem encontrei uma vulnerabilidade no serviço de banco de dados gerenciado do Microsoft Azure, Cosmos DB, que concedia acesso de leitura / gravação a todos os bancos de dados do serviço para qualquer invasor que descobrisse o bug e o explorasse.
Embora o Wiz tenha descoberto a vulnerabilidade – apelidada de “Chaos DB” – há duas semanas, a empresa diz que a vulnerabilidade está à espreita no sistema há “pelo menos vários meses, possivelmente anos”.
Estilingue ao redor de Júpiter
-
A funcionalidade do notebook Jupyter no CosmosDB permite muitas técnicas avançadas de visualização de dados com relativamente pouca experiência ou esforço de codificação.
-
A vulnerabilidade de escalonamento de privilégios permitiu que qualquer pessoa com uma conta do Cosmos DB retirasse a chave privada de qualquer outra conta do Cosmos DB, por meio da função de notebook do Jupyter.
-
Assim que o invasor tiver a chave primária da vítima, o jogo termina – o acesso total de leitura / gravação / exclusão é concedido permanentemente e não pode ser revogado sem a substituição das chaves afetadas.
Em 2019, a Microsoft adicionou código aberto Caderno Jupyter Funções do Cosmos DB. Os Jupyter Notebooks são uma maneira particularmente fácil de usar para implementar algoritmos de aprendizado de máquina; A Microsoft promoveu especificamente os laptops como uma ferramenta útil para visualização avançada de dados armazenados no Cosmos DB.
A funcionalidade do Jupyter Notebook foi habilitada automaticamente para todas as instâncias do Cosmos DB em fevereiro de 2021, mas Wiz acredita que o bug em questão provavelmente remonta ainda mais – possivelmente desde a primeira introdução do recurso no Cosmos DB em 2019.
O Wiz não fornece todos os detalhes técnicos ainda, mas a versão resumida é que uma configuração incorreta no recurso Jupyter abre uma exploração de escalonamento de privilégios. Esta exploração pode ser mal utilizada para obter acesso às chaves primárias de outros clientes Cosmos DB – de acordo com Wiz, Que A chave primária do outro cliente Cosmos DB, junto com outros segredos.
O acesso à chave primária de uma instância do Cosmos DB é “Game Over”. Permite leitura total, gravação e permissões de exclusão para todo o banco de dados pertencente a esta chave. Ami Luttwak, diretor de tecnologia da Wiz, chama isso de “a pior vulnerabilidade de nuvem que você pode imaginar”, acrescentando: “Este é o banco de dados central do Azure e fomos capazes de acessar qualquer banco de dados de cliente que quiséssemos.”
segredos de longa vida
Ao contrário dos segredos e tokens temporários, a chave primária do Cosmos DB não expira – se ela já vazou e não foi alterada, um invasor ainda pode usar essa chave para puxar, manipular ou destruir o banco de dados daqui a alguns anos.
De acordo com o Wiz, apenas 30% ou mais dos clientes do Cosmos DB enviaram e-mails para a Microsoft sobre a vulnerabilidade. O e-mail avisou esses usuários para girar sua chave primária manualmente, para garantir que qualquer chave vazada não seja mais útil para os invasores. Esses clientes do Cosmos DB são aqueles que tiveram a funcionalidade do Jupyter Notebook habilitada durante a semana ou depois que o Wiz descobriu a vulnerabilidade.
Desde fevereiro de 2021, quando todas as novas instâncias do Cosmos DB foram criadas com a funcionalidade Jupyter Notebook habilitada, o serviço Cosmos DB desabilitou automaticamente a funcionalidade Notebook se não for usado nos primeiros três dias. É por isso que o número de clientes do Cosmos DB notificados foi tão baixo – 70 por cento ou mais dos clientes Não A Microsoft notificou que o Jupyter foi desativado manualmente ou automaticamente devido à falta de uso.
Infelizmente, isso não cobre todo o escopo da vulnerabilidade. Como qualquer instância do Cosmos DB com o Jupyter habilitado era vulnerável e a chave primária não é um segredo efêmero, é impossível saber com certeza quem tem as chaves para qualquer instância. Um atacante com um alvo específico pode coletar silenciosamente a chave primária desse alvo, mas não fez nada desagradável o suficiente para ser notado (ainda).
Também não podemos descartar um cenário de impacto mais amplo, com um invasor hipotético retirando a chave primária de cada nova instância do Cosmos DB durante o período inicial de vulnerabilidade de três dias e salvando essas chaves para uso posterior. Concordamos com o Wiz aqui – se sua instância do Cosmos DB for possível Começar A função do notebook Jupyter está ativada, você deve Gire suas chaves imediatamente para garantir a segurança contínua.
Resposta da Microsoft
A Microsoft desabilitou a vulnerabilidade do Chaos DB há duas semanas – menos de 48 horas depois que Wiz relatou isso em particular. Infelizmente, a Microsoft não pode alterar as chaves primárias de seus clientes por conta própria; A carga recai sobre os clientes do Cosmos DB gire suas chaves.
Como Para a Microsoft, não há evidências de que qualquer agente malicioso tenha encontrado e explorado o Chaos DB antes que o Wiz fosse descoberto. “Não temos conhecimento de nenhum dado de cliente sendo acessado devido a esta vulnerabilidade”, dizia um comunicado enviado por e-mail da Microsoft à Bloomberg. Além de alertar mais de 3.000 clientes sobre a vulnerabilidade e fornecer diretrizes de atenuação, a Microsoft pagou ao Wiz uma recompensa de $ 40.000.
More Stories
Spotify planeja lançar assinatura sem perdas do Music Pro
O bloqueio de anúncios do YouTube agora inclui aplicativos de terceiros
Alfa Romeo 4C regressa como Abarth Classiche 1300 OT