![微软Azure Chaos DB爆严重漏洞,影响3300+客户]( "微软Azure Chaos DB爆严重漏洞,影响3300+客户")
点击上方蓝字关注我们
近日,微软Azure的Cosmos DB中爆出了一个严重的安全漏洞,该漏洞允许任何用户可以下载、删除或操纵大量的商业数据库,以及对Cosmos DB底层架构执行读取/写入访问。
微软最近修复了Azure Cosmos DB中的一个漏洞,该漏洞可能允许用户通过使用账户的主要读写密钥来访问其他客户的资源。
该漏洞是由发现云安全供应商Wiz发现的,并将其命名为"ChaosDB"。该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。
Azure Cosmos DB 是一种用于新式应用开发的、完全托管的NoSQL数据库。2019 年,微软向Cosmos DB中添加了一项名为Jupyter Notebook的功能,可以将客户数据可视化并自动创建自定义视图。2021年2月,所有Cosmos DB都自动启用了 Jupyter Notebook功能。
Wiz 团队表示,Jupyter功能中的错误配置会导致特权提升漏洞,该漏洞可能会被攻击者用来访问其他Cosmos DB主键和其他高度敏感的机密,例如笔记本blob存储访问令牌等。在收集Cosmos DB机密后,攻击者可以利用密钥对受影响Cosmos DB账户中存储的所有数据进行完全管理员访问。不过,Wiz团队暂时还未公布具体技术细节。
该漏洞利用步骤很简单,不需要事先访问目标环境的权限,并影响数千家组织,包括众多财富500强公司。
微软在收到报告后48小时内禁用了易受攻击的入口点功能,并在8月26日,即禁用有漏洞的Jupyter笔记本功能两周后,向30%以上的Cosmos DB客户发出了潜在安全漏洞警报。
然而,根据Wiz研究团队的说法,考虑到ChaosDB漏洞已经存在并且可能在披露前数月已被利用,因此受影响客户的实际数量可能要大得多,因为它可能包括大多数 Cosmos DB 客户。
为了降低风险并阻止潜在的攻击,微软建议Azure客户重新生成在禁用易受攻击的功能之前可能已被盗的Cosmos DB主键。
![微软Azure Chaos DB爆严重漏洞,影响3300+客户]( "微软Azure Chaos DB爆严重漏洞,影响3300+客户")
本文始发于微信公众号(SecTr安全团队):微软Azure Chaos DB爆严重漏洞,影响3300+客户
点击上方蓝字关注我们
评论