Microsoft ha advertido a miles de clientes de Azure sobre una vulnerabilidad crítica en Cosmos DB. El error permite a cualquier usuario la gestión remota de la base de datos., y otorga derechos de administrador sin necesidad de autorización.
El problema fue descubierto por el equipo de investigación de la empresa de seguridad en la nube Wiz.. Los expertos nombraron la vulnerabilidad. CaosDB y lo informó a Microsoft en agosto 12, 2021. Al mismo tiempo, según los investigadores, la vulnerabilidad estaba oculta en el código «durante al menos varios meses, y posiblemente años.» Microsoft le pagó a Wiz un $40,000 tarifa por este error.
El error permitió a los atacantes explotar una cadena de errores asociados con el trabajo del código abierto. Cuaderno Jupyter funcionalidad, que está habilitado de forma predeterminada y está diseñado para ayudar a los clientes a visualizar datos.
La operación exitosa permitió el acceso a las credenciales de otros usuarios de Cosmos DB, incluida la clave principal que permite el acceso remoto completo y sin restricciones a bases de datos y cuentas de clientes de Microsoft Azure.
Microsoft finalmente deshabilitó la función dentro 48 horas de haber recibido el informe y notificado durante 30% de los clientes de Cosmos DB sobre una posible violación de seguridad.
Cabe señalar que desde febrero 2021, ya que todas las nuevas instancias de Cosmos DB se crean con las funciones de Jupyter Notebook habilitadas, Cosmos DB deshabilitará automáticamente la funcionalidad de Notebook si no se ha utilizado dentro de los primeros tres días.. Esta es la razón por la que la cantidad de clientes de Cosmos DB afectados es tan pequeña, se estima que alrededor 70% de los clientes deshabilitaron Jupyter Notebook manualmente o lo automatizaron. Sin embargo, según wiz, Es probable que el número real de usuarios afectados sea mucho mayor dado que la vulnerabilidad existe desde hace mucho tiempo..
A petición de Microsoft, Los investigadores publicarán información técnica sobre ChaosDB., ya que podría ayudar a los atacantes a desarrollar sus propios exploits, pero los expertos prometen publicar pronto un documento técnico detallado.
Para mitigar el riesgo y bloquear posibles ataques, Microsoft recomienda a los clientes de Azure que vuelvan a crear las claves principales de Cosmos DB que pueden haber sido robadas antes de que se deshabilitara la característica afectada..
Según Microsoft, hay sin evidencia que los atacantes descubrieron y explotaron la vulnerabilidad de Chaos DB antes que los expertos de Wiz.
Permítanme recordarles que también hablé del hecho de que Microsoft advierte sobre una nueva vulnerabilidad de la cola de impresióny.