Szerző: Koi Tamás

2021. augusztus 27. 11:57

Üzemeltetők rémálma az Azure Cosmos DB-ben felfedezett biztonsági rés

Minden idők egyik legsúlyosabb adatbázis-sérülékenységi incidensét jelentette egy kiberbiztonsági csapat augusztus elején a Microsoftnak - az Azure Cosmos DB egyik komponensének biztonsági hibáját kihasználva az etikus hackerek több ezer Azure adatbázis tartalmához kaptak teljes hozzáférést, beleértve globális világcégek által használt adattáblákat.

Több ezer Azure ügyfélnek küldött ki figyelmeztető e-mailt a Microsoft csütörtökön, miután egy kiberbiztonsági csapat augusztus elején súlyos sebezhetőséget fedezett fel az Azure Cosmos DB egyik komponensében, mely lényegében teljes kontrollt adott illetéktelenek számára az adatbázisok tartalma felett. Egyelőre nincs nyoma annak, hogy a biztonsági rést aktívan kihasználták volna, illetve a hibát azóta kijavították, a Microsoft ezzel együtt a hozzáférési kulcsok azonnali megváltoztatására szólítja fel az ügyfeleket.

A ChaosDB névre keresztelt kritikus biztonsági rést a Wiz nevű kiberbiztonsági cég csapata fedezte fel, melynek egyébként vezetői szinten volt korábban kötődése a Microsofthoz - a cég műszaki igazgatója, Ami Luttwak korábban a Microsoft felhős biztonsági részlegénél dolgozott hasonló pozícióban. A redmondi cég végül 40 ezer dollárnyi "fejpénzt" fizetett a Wiznek a hibajelentésért.

cosmosdb_step1
A kulcsok megszerzése...

Ilyen egy rendkívül kompakt és rugalmas ipari PC (x)

Új ultra kompakt taggal bővült a Beckhoff ipari PC-kből álló termékcsaládja.

Ilyen egy rendkívül kompakt és rugalmas ipari PC (x) Új ultra kompakt taggal bővült a Beckhoff ipari PC-kből álló termékcsaládja.

A biztonsági rést a Wiz csapata augusztus 9-én fedezte fel a Azure Cosmos DB egyik komponensében, az egyébként évek óta elérhető, ám csak februárban alapértelmezetten bekapcsolt vizualizációs eszközben, a Jupyter Notebookban. A sérülékenységen keresztül a csapat gyakorlatilag az összes, adatbázis-hozzáférési kulcsot meg tudta szerezni, melyek teljes kontrollt biztosítottak több ezer cég szenzitív adataihoz, köztük olyan, globális világcégekkel, mint a Coca-Cola, az Exxon Mobil vagy a Citrix.

cosmosdb_step2
...majd felhasználása az adatbázisok eléréséhez (forrás: wiz)

A Microsoft az értesítést követő 48 órán belül kiiktatta a sebezhető komponenst, mely azóta sem érhető el és a kód teljes átdolgozásáig, felülvizsgálatáig ez alighanem így is marad.

A Wiz szerint a Microsoft ugyanakkor csak a potenciálisan érintett ügyfélkör valamivel több mint 30%-át értesítette az incidensről, illetve az azzal kapcsolatos teendőkről, ám tekintve, hogy a kritikus biztonsági hiba február óta létezett a rendszerben, ennél lényegesen nagyobb számú partner adatai lehetnek veszélyben.

a címlapról