Брешь в облаке Microsoft Azure поставила под угрозу тысячи баз данных пользователей
Уязвимость в службе Cosmos DB Microsoft Azure позволяла неавторизованным пользователям перехватывать реквизиты доступа к чужим базам данных. Проблема к настоящему времени устранена.
Хаос в космосе
Корпорация Microsoft сообщила об обнаружении и исправлении критической уязвимости в одной из важнейших служб ее облачной системы Azure. Баг позволял перехватывать полный контроль над пользовательскими базами данных.
Уязвимость содержалась в Cosmos DB, глобально распределенной и полностью управляемой службе баз данных NoSQL, которой пользуются компании Mercedes Benz, Symantec, Coca-Cola, Exxon-Mobil, Citrix и др.
Баг, как указывается в сообщении Microsoft, «обеспечивал пользователю возможность получения доступа к ресурсам других пользователей, используя первичный ключ чтения-записи».
Как выяснили эксперты компании Wiz, обнаружившие уязвимость, выявленная проблема позволяла эксплуатировать целую комбинацию багов во встроенной в Azure среде разработки Jupyter Notebook, позволяющей редактировать код и видеть результат его выполнения (целиком и в виде отдельных фрагментов).
Успешная эксплуатация комбинации уязвимостей позволяет получать доступ к реквизитам доступа других пользователей Cosmos DB, включая их первичный ключ. Этим обеспечивается полный и ничем не ограниченный доступ к аккаунтам других пользователей Microsoft Azure и их базам данных.
Эксперты отметили, что уязвимость очень проста в эксплуатации и не требует предварительного доступа к целевым средам. Количество потенциальных жертв может исчисляться тысячами.
Информация от Wiz была передана в Microsoft 12 августа 2021 г. В течение последующих 48 часов возможность эксплуатации уязвимости была нейтрализована.
Спустя еще две недели, 26 августа компания проинформировала около трети пользователей Cosmos DB об уязвимости. Информации о попытках практической эксплуатации бага злоумышленниками на данный момент нет.
В Wiz, однако, указывают, что количество потенциальных жертв уязвимости, которую в Wiz окрестили Chaos DB, может быть весьма значительным — она присутствовала в системах Azure несколько месяцев и затрагивала большую часть клиентов Cosmos DB.
Корпорация Microsoft выплатила экспертам Wiz вознаграждение в размере $45 тыс.
Процедуры самозащиты
Пользователям Azure в Microsoft рекомендовали перевыпустить свои первичные ключи, а также принять ряд дополнительных мер для обеспечения защиты. Среди них — регулярный перевыпуск первичных и вторичных ключей, использование собственного файерволла и виртуальной сети Cosmos DB для контроля доступа к ресурсам, системы разграничения ролей RBAC для авторизации в Azure Active Directory (в качестве альтернативы первичным/вторичным ключам) и т. д.
Также рекомендовано проверить логи активности в аккаунтах Cosmos DB для выявления возможных попыток эксплуатации уязвимости.
«Уязвимости подобного уровня случаются в любых программных разработках, и владельцам критических баз данных всегда стоит иметь “план Б”, который позволил бы хотя бы снизить остроту проблемы, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — В частности, регулярный перевыпуск ключей стоит производить даже вне контекста конкретной уязвимости, также как и смену паролей к любым другим службам и ресурсам».
Источник: cnews.ru