هفته گذشته ، محققان شرکت امنیت ابری Wiz یک آسیب پذیری جدید در سرویس پایگاه داده مدیریت شده Microsoft Azure ، Cosmos DB را گزارش کردند که بدترین آنها را نامیده اند.
به گفته محققان ، آسیب پذیری Azure ، که آن را ChaosDB نامیده اند ، به آنها “دسترسی کامل و بدون محدودیت به حساب ها و پایگاه های داده چندین هزار شرکت Microsoft Azure ، از جمله بسیاری از شرکت های Fortune 500” می دهد.
چگونه این اتفاق افتاد؟
در سال 2019 ، مایکروسافت ویژگی ای به نام Jupyter Notebook را به Cosmos DB اضافه کرد. این به شرکت ها اجازه می دهد داده های خود را تجسم کنند.
Avi Nutkis ، مهندس امنیت در Oak9 گفت: “برای کارکرد این ویژگی ، نوت بوک نیاز به دسترسی به پایگاه داده دارد.”
مایکروسافت در ابتدای امسال به طور خودکار آن را برای همه مشتریان خود روشن کرد.
Nutkis به Data Center Knowledge گفت: “متأسفانه آنها این ویژگی جدید را اشتباه تنظیم کرده اند.”
محفظه نوت بوک به کاربران اجازه می داد تا امتیازات خود را افزایش دهند و وارد نوت بوک های مشتریان شوند و کلیدهای دسترسی آنها را بدزدند. سپس می توان از این کلیدها برای دسترسی به تمام داده های موجود در حساب های Cosmos DB استفاده کرد.
Nir Ohfeld و Sagi Tzadik ، محققان Wiz می گویند: “ما کلیدهای دسترسی طولانی مدت به دارایی ها و داده های مشتری را بررسی کردیم.” “ما می توانیم مشتری Cosmos DB را مستقیماً از طریق اینترنت کنترل کنیم.”
دسترسی کامل داشتند. آنها می توانند داده ها را بخوانند ، بنویسند و حذف کنند – برای هزاران شرکت.
Nutkis از Oak9 می گوید: “این اولین آسیب پذیری عمومی است که بر یکی از سه ابر عمومی بزرگ تأثیر می گذارد و چندتایی را تضعیف می کند.” “یک مستاجر – مشتری – ارائه دهنده ابر نباید بتواند بدون مجوز به مستاجر دیگر دسترسی داشته باشد یا تحت تأثیر آن قرار گیرد. چندمنظوره بودن امن عامل اصلی امنیت عمومی ابر است و بدون آن هیچ سازمان یا فردی نمی تواند به یک ابر عمومی اعتماد کند. “
مایکروسافت نوت بوک های آسیب پذیر را ظرف دو روز پس از اطلاع از مشکل غیرفعال کرد. این عمل بسیار سریع بود ، اما یک مشکل بسیار بزرگ بود.
متأسفانه ، اگر هر مهاجمی قبلاً کلیدهای امنیتی را در دست گرفته بود ، هنوز به پایگاه های داده دسترسی داشت.
به گفته مایکروسافت ، هیچ شواهدی مبنی بر سوء استفاده از آسیب پذیری Azure توسط شخص دیگری به جز محققانی که آن را کشف کرده اند ، وجود ندارد ، اما آنها با مشتریان Cosmos DB تماس گرفته و به آنها گفته اند که در هر صورت کلیدهای خود را عوض کنند.
دان پترو ، محقق ارشد شرکت تست امنیت Bishop Fox ، می گوید: “آنچه نگران کننده است این است که چنین نظارت جزئی می تواند منجر به نقض این بزرگی شود.” “به طور معمول ، بسیاری از لایه های امنیتی دیگر وجود دارد که از نظر معماری از این نوع دسترسی ها جلوگیری می کند ، که ظاهراً در محل خود نبوده است.”
او گفت که هر شرکتی ، مهم نیست چقدر بزرگ باشد ، می تواند در پیکربندی اشتباه کند.
وی به Data Center Knowledge گفت: “با این حال ، امکان دسترسی به داده های متقابل داده ها از نظر معماری با یک پیکربندی اشتباه ساده امکان پذیر نیست.”
اگر نمی دانید که آیا حساب های Cosmos DB با نوت بوک های Jupyter دارید یا خیر ، محقق امنیتی Wiz ، Alon Schindel ، دستورالعملی برای نحوه پیدا کردن آن ارسال کرده است.
او همچنین دستورالعمل هایی برای نحوه تنظیم مجدد کلیدهای امنیتی و نحوه ردیابی روند بازسازی کلید ارائه کرد.
برای آن دسته از شرکت هایی که نمی توانند کلیدهای خود را تنظیم مجدد کنند ، شیندل دسترسی محدود شبکه به پایگاه های داده آسیب دیده را توصیه کرد.
در دراز مدت ، شرکت ها باید از استفاده از کلیدهای امنیتی مشترک دور شوند.
فرانسیسکو دونوسو ، مدیر ارشد استراتژی امنیت جهانی در Kudelski Security ، توصیه می کند که شرکت ها به جای آن از کنترل دسترسی مبتنی بر نقش استفاده کنند ، مجموعه ای از ابزارهای امنیتی که قبلاً در ابر Azure موجود است.
وی به دانش مرکز داده گفت: “مشتریان می توانند دسترسی به داده ها و عملکردهای مدیریتی را به گروه ها یا برنامه های کاربری خاص محدود کنند.”