午夜福利院在线观看免费,天堂最新版在线,色噜噜精品一区二区三区,无码一区二区三区中文字幕,丝袜美腿一区二区三区

ChaosDB漏洞:泄露了成千上萬的微軟Azure數(shù)據(jù)庫

作者:Nir Ohfeld和Sagi Tzadik是安全公司W(wǎng)iz的兩位安全研究人員。
?
ChaosDB漏洞:泄露了成千上萬的微軟Azure數(shù)據(jù)庫插圖
如今我們在網(wǎng)上所做的幾乎一切都通過云端的應(yīng)用程序和數(shù)據(jù)庫來進(jìn)行。雖然存儲桶泄漏備受關(guān)注,但對于大多數(shù)公司來說數(shù)據(jù)庫泄露才是更大的風(fēng)險,因為每個數(shù)據(jù)庫可能含有數(shù)百萬甚至數(shù)十億條敏感記錄。每個首席信息安全官(CISO)的噩夢是,有人一舉獲得了訪問密鑰,并往外泄露數(shù)千GB的數(shù)據(jù)。
因此,當(dāng)我們能夠完全不受限制地訪問數(shù)千個微軟Azure客戶(包括許多《財富》500強(qiáng)公司)的帳戶和數(shù)據(jù)庫時,您可以想象我們有多驚訝。Wiz的安全研究團(tuán)隊(也就是我們)不斷尋找云端的新攻擊面,兩周前我們發(fā)現(xiàn)了一處影響Azure的旗艦數(shù)據(jù)庫服務(wù)Cosmos DB的前所未有的安全漏洞。
可口可樂、??松篮退冀艿任④浛蛻羰褂肅osmos DB近乎實時地管理來自世界各地的海量數(shù)據(jù)。作為開發(fā)人員存儲數(shù)據(jù)的最簡單、最靈活的方式之一,Cosmos DB支持關(guān)鍵業(yè)務(wù)功能,比如處理數(shù)百萬個處方交易或管理電子商務(wù)網(wǎng)站上的客戶訂單流。
近年來,隨著更多的公司紛紛遷移到云,數(shù)據(jù)庫泄露事件變得異常普遍,而罪魁禍?zhǔn)淄ǔJ强蛻舡h(huán)境中的錯誤配置。在這種情況下,客戶沒有過錯。
確切地說,Cosmos DB功能中的一系列缺陷造成了安全漏洞,允許任何用戶可以下載、刪除或操縱大量的商業(yè)數(shù)據(jù)庫,以及對Cosmos DB底層架構(gòu)執(zhí)行讀取/寫入訪問。
我們將這個漏洞命名為#ChaosDB。鉆它的空子輕而易舉,不需要其他登錄信息(憑據(jù))。
第一部分:竊取Cosmos DB客戶的主密鑰
?
首先,我們獲得了對客戶的Cosmos DB主密鑰的訪問權(quán)限。主密鑰是攻擊者覬覦的目標(biāo)——它們長期存在,允許對客戶數(shù)據(jù)進(jìn)行全面的讀取/寫入/刪除訪問。
2019年,微軟為Cosmos DB添加了一項名為Jupyter Notebook的功能,讓客戶可以直觀顯示其數(shù)據(jù),并創(chuàng)建自定義視圖(見下圖)。該功能已在2021年2月自動為所有Cosmos DB啟用。
ChaosDB漏洞:泄露了成千上萬的微軟Azure數(shù)據(jù)庫插圖1
Notebook功能中的一系列錯誤配置打開了一條新的攻擊途徑,我們得以趁虛而入。簡而言之,notebook容器允許將權(quán)限升級到可以訪問其他客戶notebook(下面會介紹有關(guān)權(quán)限升級的技術(shù)細(xì)節(jié))。
ChaosDB漏洞:泄露了成千上萬的微軟Azure數(shù)據(jù)庫插圖2
因此,攻擊者可以訪問客戶的Cosmos DB主密鑰及其他高度敏感的秘密信息,比如notebook blob 存儲訪問令牌。
第二部分:訪問Cosmos DB中的客戶數(shù)據(jù)
ChaosDB漏洞:泄露了成千上萬的微軟Azure數(shù)據(jù)庫插圖3
接下來,在收集Cosmos DB秘密信息后,我們表明攻擊者可以利用這些密鑰,對存儲在受影響的Cosmos DB帳戶中的所有數(shù)據(jù)進(jìn)行全面的管理員級訪問。
我們獲取了密鑰,因而可以長期訪問客戶資產(chǎn)和數(shù)據(jù)。然后,我們可以直接從互聯(lián)網(wǎng)控制客戶Cosmos DB,并擁有全面的讀取/寫入/刪除權(quán)限。
現(xiàn)在想象一下針對30多個地區(qū)的成千上萬客戶重復(fù)這個過程……
影響和范圍
?
微軟的安全團(tuán)隊立即采取了行動以解決這個問題,這值得稱贊。我們很少看到安全團(tuán)隊行動如此之快速!他們在我們報告后48小時內(nèi)禁用了易受攻擊的notebook功能。針對所有等待重新設(shè)計安全的客戶,該功能仍處于關(guān)閉狀態(tài)。
然而,客戶可能仍會受到影響,因為他們的主訪問密鑰可能已泄露。這些是長期存在的秘密信息;萬一泄露,攻擊者可以使用該密鑰來泄露數(shù)據(jù)庫內(nèi)容。今天,微軟已通知超過30%的Cosmos DB客戶:他們需要手動輪換訪問密鑰以緩解這個風(fēng)險。
微軟僅在我們短暫(大約一周)的研究期間向受影響的客戶發(fā)去了電子郵件。然而,我們認(rèn)為多得多的Cosmos DB客戶可能面臨風(fēng)險。該漏洞至少幾個月前就可以被人鉆空子,甚至可能幾年前。
每個使用notebook功能或在2021年2月之后創(chuàng)建的Cosmos DB帳戶都可能已泄露。作為一項防范措施,我們敦促每個Cosmos DB客戶都應(yīng)采取措施來保護(hù)自己的信息。
如果您認(rèn)為貴組織可能受到ChaosDB的影響,請按照本文(https://docs.microsoft.com/azure/cosmos-db/secure-access-to-data#primary-keys)中描述的步驟,獲取有關(guān)如何重新生成和輪換密鑰的詳細(xì)說明。

給TA打賞
共{{data.count}}人
人已打賞
AzureChaosDB漏洞
0 條回復(fù) A文章作者 M管理員
    暫無討論,說說你的看法吧
在線客服
主機(jī)邦
我們將24小時內(nèi)回復(fù)。
2025-05-18 00:41:05
您好,有任何疑問請與我們聯(lián)系!
您的工單我們已經(jīng)收到,我們將會盡快跟您聯(lián)系!
取消

選擇聊天工具: