«La peor vulnerabilidad en la nube que pueda imaginar» descubierta en Microsoft Azure



Cosmos DB es una oferta de servicio de base de datos administrada que incluye estructuras de datos tanto relacionales como noSQL y es parte de la infraestructura en la nube Azure de Microsoft.
Agrandar / Cosmos DB es una oferta de servicio de base de datos administrada que incluye estructuras de datos tanto relacionales como noSQL y es parte de la infraestructura en la nube Azure de Microsoft.

El proveedor de seguridad en la nube Wiz anunció ayer que descubrió una vulnerabilidad en el servicio de base de datos administrada Cosmos DB de Microsoft Azure que permite a cualquier atacante que haya encontrado y aprovechado el error tener acceso de lectura / escritura a todas las bases de datos del servicio.

Aunque Wiz solo descubrió la vulnerabilidad de Chaos DB hace dos semanas, la compañía dice que la vulnerabilidad ha estado al acecho en el sistema durante «al menos varios meses, posiblemente años».


Un cabestrillo alrededor de Jupyter

En 2019, Microsoft Cosmos DB agregó la función de código abierto Jupyter Notebook. Los cuadernos de Jupyter son una forma particularmente fácil de usar para implementar algoritmos de aprendizaje automático; Microsoft promovió específicamente los portátiles como una herramienta útil para la visualización avanzada de datos almacenados en Cosmos DB.

La funcionalidad de Jupyter Notebook se habilitó automáticamente para todas las instancias de Cosmos DB en febrero de 2021, pero Wiz cree que el error en cuestión probablemente se remonta aún más atrás, posiblemente cuando Cosmos DB introdujo la función por primera vez en 2019.

Wiz aún no revela todos los detalles técnicos, pero la versión corta es que una configuración incorrecta en la función de Jupyter abre un exploit para la expansión de derechos. Este exploit podría usarse indebidamente para obtener acceso a las claves principales de otros clientes de Cosmos DB, según Wiz. alguna Claves primarias de otros clientes de Cosmos DB junto con otros secretos.


Se acabó el acceso a la clave principal de una instancia de Cosmos DB. Permite permisos completos de lectura, escritura y eliminación para toda la base de datos que pertenece a esta clave. Al describir esto como «la peor vulnerabilidad imaginable en la nube», Ami Luttwak, director de tecnología de Wiz, agrega: «Esta es la base de datos central de Azure y pudimos acceder a cualquier base de datos de clientes que quisiéramos».

Secretos duraderos

A diferencia de los secretos y tokens efímeros, la clave principal de un Cosmos DB no caduca; si ya se ha filtrado y no se ha cambiado, un atacante aún podría usar esta clave para exfiltrar, manipular o destruir la base de datos en los próximos años.

Según Wiz, Microsoft solo informó a alrededor del 30 por ciento de sus clientes de Cosmos DB sobre la vulnerabilidad por correo electrónico. El correo electrónico advirtió a estos usuarios que rotaran manualmente su clave principal para asegurarse de que las claves filtradas ya no sean útiles para los atacantes. Estos clientes de Cosmos DB eran los que tenían la funcionalidad de Jupyter Notebook habilitada durante la semana en la que Wiz estaba investigando la vulnerabilidad.

Desde febrero de 2021, cuando se crearon todas las nuevas instancias de Cosmos DB con las funciones de Jupyter Notebook habilitadas, el servicio Cosmos DB inhabilitó automáticamente la funcionalidad de Notebook si no se utilizó durante los primeros tres días. Esta es la razón por la que el número de clientes de Cosmos DB reportados fue tan bajo: alrededor del 70 por ciento de los clientes. no Notificado por Microsoft, Jupyter lo había desactivado manualmente o lo había desactivado automáticamente por falta de uso.

Desafortunadamente, esto no cubre todo el alcance de la vulnerabilidad. Dado que cada instancia de Cosmos DB con Jupyter habilitado ha sido vulnerable y la clave principal no es un secreto de corta duración, es imposible saber con certeza quién tiene las claves de qué instancias. Un atacante con un objetivo específico podría haber recolectado silenciosamente la clave principal de ese objetivo, pero (todavía) no ha hecho nada lo suficientemente objetable como para ser notado.

Tampoco podemos descartar un escenario de impacto más amplio en el que un atacante hipotético extrajo la clave principal de cada nueva instancia de Cosmos DB durante la ventana de vulnerabilidad inicial de tres días y luego guardó esas claves para un posible uso futuro. Estamos de acuerdo con Wiz, si su instancia de Cosmos DB pudiera siempre Si la funcionalidad de Jupyter Notebook está activada, debe rotar las claves inmediatamente para garantizar la seguridad futura.

Respuesta de Microsoft

Microsoft desactivó la vulnerabilidad Chaos DB hace dos semanas, menos de 48 horas después de que Wiz lo informara en privado. Desafortunadamente, Microsoft no puede cambiar las claves primarias de sus clientes por sí mismo; Los clientes de Cosmos DB necesitan rotar sus claves.

Según Microsoft, no hay evidencia de que actores maliciosos hayan encontrado y explotado Chaos DB antes de que Wiz lo descubriera. Una declaración por correo electrónico de Microsoft a Bloomberg decía: «No tenemos conocimiento de que se haya accedido a ningún dato de cliente como resultado de esta vulnerabilidad». Además de advertir a más de 3.000 clientes sobre la vulnerabilidad y proporcionar instrucciones sobre cómo limitarla, Microsoft pagó a Wiz una recompensa de 40.000 dólares.


Deja una respuesta

Tu dirección de correo electrónico no será publicada.