Badacze znaleźli krytyczną lukę w zabezpieczeniach Azure Cosmos DB. Microsoft wysyła do użytkowników e-maile z ostrzeżeniami

O całym zajściu mogliśmy dowiedzieć się za sprawą raportu od zespołu Wiz Research: 

I'm excited to share information about our research, in which we (+@nirohfeld) found a critical vulnerability in Azure Cosmos DB itself – effectively allowing malicious actors to fully compromise databases of thousands of customers. @wiz_io #ChaosDB https://t.co/gWli3fDRQI

— sagitz (@sagitz_) August 26, 2021

Usługa Azure Cosmos DB to w pełni zarządzana usługa bazy danych NoSQL umożliwiająca tworzenie nowoczesnych aplikacji:

Luka znaleziona przez badaczy umożliwiała atakującemu uzyskanie pełnego dostępu (odczyt, zapis, usuwanie) do instancji Cosmos DB innych klientów bez uprzedniej autoryzacji. Tak prezentuje się Proof of Concept dla tej podatności:

Wykorzystanie kilku luk w zabezpieczeniach funkcji Jupyter Notebook usługi Cosmos DB, umożliwiało wysyłanie zapytań o informację o docelowym notesie Cosmos DB Jupyter. W ten sposób osoba atakująca mogła uzyskać zestaw poświadczeń (credentials) wraz z kluczem głównym (primary key) związanych z docelowym kontem Cosmos DB. Korzystając z tych poświadczeń, można było wyświetlać, modyfikować i usuwać dane na koncie Cosmos DB ofiary:

W związku z tym znaleziskiem Microsoft wysłał e-mailowe ostrzeżenia dla użytkowników Azure Cosmos DB:

Według Microsoftu, luka najprawdopodobniej nie została wykorzystana przez nieuprawnione osoby trzecie. Mimo wszystko firma zaleca jednak wygenerowanie nowych kluczy głównych (primary key) dla kont Azure Cosmos DB.

~ Jakub Bielaszewski