Microsoft telah mengungkapkan bahwa ribuan Biru langit (terbuka di tab baru) Pengguna database Cosmos DB mungkin perlu memperbarui perlindungan keamanan mereka setelah ditemukan cacat serius.
Cosmos DB adalah Microsoft basis data (terbuka di tab baru) layanan yang berjalan di atas Azure-nya komputasi awan (terbuka di tab baru) platform, dan digunakan oleh berbagai perusahaan Fortune 500 di seluruh dunia.
Keamanan cyber (terbuka di tab baru) peneliti dari perusahaan keamanan infrastruktur cloud Ahli (terbuka di tab baru) menemukan serangkaian kelemahan di salah satu fitur layanan basis data, yang dapat dimanfaatkan oleh pelaku ancaman untuk mendapatkan kendali penuh atas basis data, yang berarti mereka dapat membaca atau bahkan menghapus data.
“Setiap mimpi buruk CISO adalah seseorang mendapatkan kunci akses mereka dan mengeksfiltrasi gigabyte data dalam satu gerakan. Jadi Anda dapat membayangkan keterkejutan kami ketika kami dapat memperoleh akses tak terbatas penuh ke akun dan database dari beberapa ribu pelanggan Microsoft Azure, termasuk banyak perusahaan Fortune 500.” menulis (terbuka di tab baru) Nir Ohfeld dan Sagi Tzadik dari Wiz dalam postingan blog bersama.
Entri tanpa kunci
Peneliti keamanan mencatat bahwa mengeksploitasi kerentanan, yang mereka beri nama ChaosDB, adalah “sepele.”
Kerentanan ada di fitur Notebook Jupyter yang membantu pengguna memvisualisasikan data mereka. Itu diperkenalkan pada 2019 dan secara otomatis diaktifkan untuk semua database Cosmos DB pada Februari 2021.
Tanpa memberikan terlalu banyak detail, para peneliti mencatat bahwa implementasi Jupyter memberi penyerang akses ke kunci utama basis data dan rahasia lain yang sangat sensitif seperti token akses penyimpanan gumpalannya.
Memanfaatkan kunci detail ini, para peneliti dapat mengakses dan menjalankan kontrol baca/tulis/hapus penuh atas database dari seluruh internet.
Saat diberi tahu oleh para peneliti, Microsoft dengan cepat menonaktifkan fitur notebook yang rentan untuk mencegah bocornya rahasia. Perusahaan juga meminta sebagian dari penggunanya untuk merotasi kunci mereka untuk memastikan bahwa kunci apa pun yang telah diekstraksi oleh pengguna yang tidak sah menjadi tidak berguna.
Menurut Reuters, email Microsoft menyoroti fakta bahwa perusahaan tidak menemukan bukti yang menunjukkan bahwa kelemahan tersebut telah dieksploitasi.
Melalui Reuters (terbuka di tab baru)
