Itu Keamanan cyber (terbuka di tab baru) dan Badan Keamanan Infrastruktur (CISA) mendesak semua pengguna Microsoft Biru langit (terbuka di tab baru) Cosmos DB basis data (terbuka di tab baru) service untuk membuat ulang kunci sertifikat mereka, menyusul penemuan kelemahan keamanan serius yang dapat menyerahkan kendali database kepada individu yang tidak berwenang.
Itu Cacat Cosmos DB (terbuka di tab baru) ditemukan oleh awan (terbuka di tab baru) perusahaan keamanan infrastruktur Ahli (terbuka di tab baru)yang dapat mengeksploitasi kerentanan dalam implementasi Jupyter Notebook layanan, yang memberi penyerang akses ke kunci utama basis data dan rahasia lain yang sangat sensitif seperti token akses penyimpanan gumpalannya.
Setelah diberi tahu, Microsoft dengan cepat menonaktifkan Jupyter, dan mengirim email ke sebagian penggunanya untuk merotasi kunci mereka. Namun CISA menyarankan semua Cosmos DB untuk mengikuti langkah pencegahan ini.
“Meskipun kesalahan konfigurasi tampaknya telah diperbaiki dalam cloud Azure, CISA sangat mendorong pelanggan Azure Cosmos DB untuk meluncurkan dan membuat ulang kunci sertifikat mereka dan meninjau panduan Microsoft tentang cara Akses aman ke data di Azure Cosmos DB (terbuka di tab baru)”catat CISA dalam nasihatnya.
Jangan anggap enteng
Menurut para peneliti Wiz, kelemahan tersebut akan membekali pelaku ancaman dengan semua yang mereka butuhkan untuk mengakses dan melakukan kontrol baca/tulis/hapus penuh atas database dari seluruh internet.
Dalam sebuah posting blog (terbuka di tab baru)Microsoft mengatakan bahwa penyelidikannya menunjukkan bahwa “tidak ada data pelanggan yang diakses karena kerentanan ini,” menambahkan bahwa mereka telah memberi tahu pelanggan yang kuncinya mungkin telah terpengaruh oleh para peneliti.
Namun, para peneliti Wiz berpihak pada arahan CISA yang memperluas saran untuk semua pengguna DB Cosmos, karena sulit untuk mengukur dampak sebenarnya dari kerentanan tersebut.
“Menurut perkiraan saya, sangat sulit bagi mereka, jika bukan tidak mungkin, untuk sepenuhnya mengesampingkan bahwa seseorang menggunakan ini sebelumnya,” kata Chief Technology Officer Wiz Ami Luttwak kepada Reuters.
Melalui Reuters (terbuka di tab baru)
