Dziura w chmurze Azure. "Gorzej być nie może"
Odkryto bardzo poważną dziurę w usługach chmurowych Microsoft Azure. Tak poważną, jak tylko się da: jak mówią odkrywcy podatności, dane ponad 3000 klientów Azure były całkowicie pozbawione ochrony i dostępne do pobrania. Dziura była obecna w infrastrukturze Microsoftu od 2019 roku, a niebezpieczny składnik włączono u wszystkich klientów w lutym tego roku.
Wadliwy składnik to funkcja wizualizacji danych w bazie Cosmos DB, natywnej bazie danych w Azure. Ekspert z zespołu firmy Wiz, gdzie dokonano odkrycia, wprost mówi że nie da się mieć poważniejszej dziury w bezpieczeństwie danych: uwierzytelniony dostęp do swoich danych oznaczał uwierzytelniony dostęp do wszystkich.
ChaosDB: słabość w wizualizatorze
Microsoft odpowiedział szybko po zgłoszeniu. Ostrzegł klientów i przedstawił wnioski z analizy powłamaniowej na portalu MSRC. Według sprawozdania, podatność nie została wykorzystana przez żadnych włamywaczy poza samym zespołem badawczym, który podzielił się odkryciem z Redmond. Zespół otrzymał nagrodę w wysokości 40 tysięcy dolarów w ramach programu Bug Bounty.
Zespół Wiz odkrył słabość w wizualizatorze danych Jupyter Notebook, którego obsługę Microsoft włączył dla wszystkich klientów. Firma wkrótce opublikuje szczegóły przeprowadzonego ataku, póki co informuje jedynie, że możliwe było podniesienie uprawnień na kontenerze z notebookiem tak, by móc dostać się do innych kontenerów oraz zdobyć klucze do bazy.
Zdobycz i reakcja
Zdobyte klucze (opisywane jako primary keys, choć jest to termin bazodanowy o nieco innym znaczeniu) posłużyły do dostępu do przestrzeni zarządzania notebookami oraz do bazy danych, która przechowuje ich zawartość. Wiz poinformował o tym odkryciu Redmond, a zespół techniczny Microsoftu zareagował błyskawicznie.
Część funkcji została wyłączona, Azure informuje o rekomendacji rotowania kluczy, a dziura jest już załatana. Zdarzenie to jednak pokazuje, jak rosnącym ryzykiem jest wynajmowanie oprogramowania i infrastruktury. Klient zdany jest w całości na bezpieczeństwo dostawcy chmury, choć należy mieć na uwadze to, że gdy to klient ma odpowiadać za swoją infrastrukturę, nierzadko radzi sobie z tym znacznie gorzej.