クラウドセキュリティベンダーウィズ 発表 昨日、MicrosoftAzureのマネージドデータベースサービスであるCosmosDBに脆弱性が見つかりました。これにより、バグを発見して悪用した攻撃者に対して、サービス上のすべてのデータベースへの読み取り/書き込みアクセスが許可されました。
Wizは2週間前にこの脆弱性(「ChaosDB」と呼ばれる)を発見しただけですが、同社によれば、この脆弱性は「少なくとも数か月、場合によっては数年」システムに潜んでいるとのことです。
木星の周りのパチンコ
2019年、Microsoftはオープンソースを追加しました Jupyterノートブック CosmosDB関数。 Jupyter Notebookは、機械学習アルゴリズムを実装するための特に使いやすい方法です。 Microsoftは、CosmosDBに保存されているデータを高度に視覚化するための便利なツールとしてラップトップを特に宣伝しています。
Jupyter Notebook機能は、2021年2月にすべてのCosmos DBインスタンスで自動的に有効になりましたが、Wizは、問題のバグはさらに遡る可能性が高いと考えています。おそらく、CosmosDBが2019年にこの機能を最初に導入したときまでさかのぼります。
Wizはまだすべての技術的な詳細を提供していませんが、短いバージョンでは、Jupyter機能の設定を誤ると特権昇格のエクスプロイトが発生します。 Wizによると、このエクスプロイトは、他のCosmosDBクライアントの主キーにアクセスするために悪用される可能性があります。 どれの 他のCosmosDBクライアントの主キーと他のシークレット。
CosmosDBインスタンスの主キーへのアクセスは「ゲームオーバー」です。 このキーに属するデータベース全体の完全な読み取り、書き込み、および削除のアクセス許可を許可します。 Wizの最高技術責任者であるAmiLuttwak氏は、これを「想像できる最悪のクラウドの脆弱性」と呼び、「これはAzureの中央データベースであり、必要な顧客データベースにアクセスできました」と付け加えています。
長寿の秘密
シークレットや一時トークンとは異なり、Cosmos DBの主キーは期限切れになりません。すでにリークされていて変更されていない場合でも、攻撃者はそのキーを使用して、数年後もデータベースをプル、操作、または破壊できます。
Wizによると、Cosmos DBの顧客の30%程度だけが、この脆弱性についてMicrosoftに電子メールを送信しました。 電子メールは、これらのユーザーに、漏洩したキーが攻撃者にとってもはや役に立たないようにするために、主キーを手動でローテーションするように警告しました。 これらのCosmosDBクライアントは、1週間またはWizが脆弱性を発見したためにJupyterNotebook機能を有効にしたクライアントです。
すべての新しいCosmosDBインスタンスがJupyterNotebook機能を有効にして作成された2021年2月以降、Cosmos DBサービスは、最初の3日以内に使用されない場合、Notebook機能を自動的に無効にしました。 これが、通知されるCosmos DBクライアントの数が非常に少ない理由です-クライアントの70%程度 いいえ Microsoftは、Jupyterが手動で無効にされたか、使用されていないために自動的に無効にされたことを通知しました。
残念ながら、これは脆弱性の全範囲を網羅しているわけではありません。 Jupyterが有効になっているCosmosDBインスタンスは脆弱であり、主キーは一時的な秘密ではないため、インスタンスのキーを誰が持っているかを確実に知ることは不可能です。 特定のターゲットを持つ攻撃者は、そのターゲットの主キーを静かに収集できますが、(まだ)気付くほど不快なことは何もしていません。
また、仮想の攻撃者が最初の3日間の脆弱性期間中にすべての新しいCosmos DBインスタンスから主キーをスクレイピングし、後で使用するためにそれらのキーを保存するという、より広範な影響シナリオを除外することはできません。 ここでWizに同意します-CosmosDBインスタンスが可能であれば 始める Jupyterノートブック機能が有効になっている場合は、 キーを回転させます 継続的な安全を確保するためにすぐに。
マイクロソフトの対応
マイクロソフトは、2週間前にChaos DBの脆弱性を無効にしました。これは、Wizが非公開で報告してから48時間以内です。 残念ながら、Microsoftは顧客の主キーを独自に変更することはできません。 CosmosDBのお客様に負担がかかります キーを回転させる。
なので Microsoftの場合、Wizが発見される前に、悪意のある攻撃者がChaosDBを見つけて悪用したという証拠はありません。 マイクロソフトからブルームバーグに電子メールで送信された声明は、「この脆弱性が原因でアクセスされている顧客データを認識していません」と述べています。 マイクロソフトは、3,000人を超える顧客に脆弱性について警告し、緩和ガイドラインを提供することに加えて、Wizに40,000ドルの報酬を支払いました。
More Stories
Nintendo Switch の最高のグラフィックス: 7 年間にわたるサードパーティ開発者の才能の結晶
エヌビディアの失望で日本の日経平均株価が下落
Apple Intelligence の写真アプリのクリーンアップ ツールの動作をご覧ください