Szerző: Koi Tamás

2021. augusztus 30. 10:28

Reménykedhet a Microsoft, hogy senki nem talált rá a ChaosDB-re

Kiberbiztonsági cégek és az amerikai kormányzat illetékes szerve is arra szólítják fel az Azure Cosmos DB felhős adatbázisok üzemeltetőit, hogy változtassák meg a hozzáférési kulcsukat, mivel nem zárható ki, hogy azok egy augusztus elején felfedezett súlyos biztonsági résnek köszönhetően kompromittálódtak.

Minden potenciális felhasználót arra figyelmeztetnek a témában elmélyült kiberbiztonsági szakértők, illetve az illetékes amerikai kormányzati szerv is, hogy sürgősen változtassák meg, illetve újítsák meg az Azure Cosmoc DB hozzáréfési kulcsaikat - a Microsoft felhős adatbázis-rendszerében augusztus elején fedeztek fel egy súlyos biztonsági rést, ami február óta jelen volt a rendszerben.

Bár a Microsoft szerint a ChaosDB-re keresztelt sebezhetőséget nem használták ki a megjelenése óta eltelt nagyjából hat hónap során, a cég így is figyelmeztető üzenetet küldött ki mintegy 3300 felhasználónak, köztük számos multinacionális nagyvállalatnak. Csakhogy a biztonsági rést felfedező cég, az ex-microsoftos kiberbiztonsági veteránokból álló Wiz szerint ez nem elég: minden felhasználót értesítenie kéne a szoftvercégnek.

microsoft_chaosdb

Ilyen egy rendkívül kompakt és rugalmas ipari PC (x)

Új ultra kompakt taggal bővült a Beckhoff ipari PC-kből álló termékcsaládja.

Ilyen egy rendkívül kompakt és rugalmas ipari PC (x) Új ultra kompakt taggal bővült a Beckhoff ipari PC-kből álló termékcsaládja.

A belügyminisztériumhoz tartozó Kiberbizonsági és Infrastruktúra-biztonsági Ügynökség (angolul Cybersecurity and Infrastructure Security Agency, azaz CISA) múlt pénteken kiadott biztonsági figyelmeztetésében határozottan arra szólított fel minden ügyfelet, hogy változtassák meg a korábban használt kulcsokat.

A Wiz szakértői szerint a ChaosDB-ről rendelkezésre álló információk alapján "rendkívül nehéz", ha nem lehetetlen minden kétséget kizáróan kijelenteni azt, hogy a sérülékenység révén senki nem jutott hozzá szenzitív adatokhoz, vagy akár magukhoz a kulcsokhoz az elmúlt hat hónapban.

A Microsoft mindenesetre igyekezett arról biztosítani a nyilvánosságot, hogy az etikus hackerek eszköztárához képest átfogóbb vizsgálatnak tudják alávetni a potenciális támadásnak kitett rendszereket.

a címlapról