Microsoft Azure出现漏洞,攻击者可轻松访问Cosmos DB 数据库-InfoQ
source link: https://www.infoq.cn/article/qfMdr6dTFrPgxHwYFsPm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
8 月 26 日,云安全供应商 Wiz 宣布,在 Microsoft Azure 的托管数据库服务 Cosmos DB 中发现了一个漏洞, Wiz 将其命名为“Chaos DB”,攻击者可以利用该漏洞获得该服务上每个数据库的读/写访问权限。尽管 Wiz 在两周前才发现了该漏洞,但该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。
Azure Cosmos DB 是一种用于新式应用开发的、完全托管的 NoSQL 数据库。 2019 年,微软向 Cosmos DB 中添加了一项名为 Jupyter Notebook 的功能,可以将客户数据可视化并自动创建自定义视图(见下图)。2021 年 2 月,所有 Cosmos DB 都自动启用了 Jupyter Notebook 功能。
据官方介绍,Jupyter Notebook 是基于网页的用于交互计算的应用程序,可被应用于全过程计算:开发、文档编写、运行代码和展示结果。
Wiz 团队表示,Jupyter 功能中的错误配置会导致特权提升漏洞,该漏洞可能会被攻击者用来访问其他 Cosmos DB 主键和其他高度敏感的机密,例如笔记本 blob 存储访问令牌等。在收集 Cosmos DB 机密后,攻击者可以利用密钥对受影响 Cosmos DB 帐户中存储的所有数据进行完全管理员访问。不过,Wiz 团队暂时还未公布具体技术细节。
与临时令牌不同,Cosmos DB 的主键不会过期——如果其已经被泄露且没有被更改,攻击者仍然可以在几年后使用该主键来窃取、操纵或破坏数据库。
据悉,微软安全团队目前已经禁用了易受攻击的笔记本功能,并通知超过 30% 的 Cosmos DB 客户需要手动轮换访问密钥以减少风险,这些是在 Wiz 探索漏洞一周左右内启用了 Jupyter Notebook 功能的客户。
除了警告 3,000 多名客户注意该漏洞并提供缓解说明外,微软还向 Wiz 支付了 40,000 美元的赏金。
据 Wiz 团队表示,每个使用 notebook 功能或在 2021 年 1 月之后创建 Cosmos DB 帐户的用户都可能面临风险。从今年 2 月开始,每个新创建的 Cosmos DB 帐户都默认启用了 notebook 功能,即使客户不知道并且从未使用过该功能,他们的主键可能也已暴露。
Wiz 首席技术官 Ami Luttwak 将其描述为“你能想象到的、最严重的云漏洞”,并补充道,“这是 Azure 的中央数据库,我们能够访问我们想要的任何客户数据库。”
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK