Dziurawa Azure Cosmos DB

W nierelacyjnej, chmurowej bazie danych Azure Cosmos DB zidetyfikowano podatność. Nosi nazwę ChaosDB i umożliwia przejęcie zdalnej kontroli nad zgromadzonymi w niej danymi. Dobra wiadomość jest taka, że opracowano już procedurę likwidującą to zagrożenie.

Dziurawa Azure Cosmos DB

Fot. Soumil Kumar, Pexels

Podatność pozwala hakerom nie tylko odczytywać dane, ale również zmieniać oraz usuwać je. Microsoft dowiedział się o tym zagrożeniu na początku sierpnia i przystąpił do opracowywania poprawki. Jest ono groźne, ponieważ daje każdemu użytkownikowi chmury Azure możliwość uzyskania - bez uwierzytelnienia się - pełnego dostępu (a więc odczytywania, zapisywania i usuwania) do instancji Cosmos DB należącej do innego użytkownika.

Jest to w gruncie rzeczy trywialna podatność. Wystarczy, że potencjalny haker zapozna się z opublikowanym wcześniej przez Microsoft opisem pracy internetowej aplikacji open noszącej nazwę Jupyter Notebook (która pozwala wizualizować dane przechowywane w Azure Cosmos DB) i umiejętnie wykorzystać opisane tam funkcje. Aplikacja ta została dodana do bazy danych na początku tego roku i jest ściśle zintegrowana z kontami Azure Portal i Cosmos DB.

Zobacz również:

  • Darknet na celowniku organów ścigania
  • Zysk Microsoftu wzrósł o 24% w kwartale. Wszystko dzięki chmurze

Znając opis pracy tej aplikacji, haker może uzyskać dostęp do poświadczeń konta docelowego Azure Cosmos DB, w tym do podstawowego klucza tej bazy danych. Mając poświadczenia, osoba atakująca może wyświetlać, modyfikować i usuwać dane na docelowym koncie Cosmos DB.

Microsoft ma prostą radę. Aby załatać dziurę, użytkownik usługi musi po prostu ponownie wygenerować podstawowe klucze obsługujące każde potencjalnie zagrożone konto usługi Azure Cosmos DB. Jednak informatycy z firmy WIZ ostrzegają, że hakerzy wykorzystywali tę lukę od dobrych kilku miesięcy i właściwie mogli przez ten czas wykraść dane każdemu użytkownikowi bazy danych Azure Cosmos DB.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200