Dziura w chmurze Azure. "Gorzej być nie może"

Odkryto bardzo poważną dziurę w usługach chmurowych Microsoft Azure. Tak poważną, jak tylko się da: jak mówią odkrywcy podatności, dane ponad 3000 klientów Azure były całkowicie pozbawione ochrony i dostępne do pobrania. Dziura była obecna w infrastrukturze Microsoftu od 2019 roku, a niebezpieczny składnik włączono u wszystkich klientów w lutym tego roku.

Dziura w chmurze Azure. "Gorzej być nie może"
Dziura w chmurze Azure. "Gorzej być nie może"
Źródło zdjęć: © Pixabay | Colossus Cloud
Kamil J. Dudek

28.08.2021 21:34

Wadliwy składnik to funkcja wizualizacji danych w bazie Cosmos DB, natywnej bazie danych w Azure. Ekspert z zespołu firmy Wiz, gdzie dokonano odkrycia, wprost mówi że nie da się mieć poważniejszej dziury w bezpieczeństwie danych: uwierzytelniony dostęp do swoich danych oznaczał uwierzytelniony dostęp do wszystkich.

ChaosDB: słabość w wizualizatorze

Microsoft odpowiedział szybko po zgłoszeniu. Ostrzegł klientów i przedstawił wnioski z analizy powłamaniowej na portalu MSRC. Według sprawozdania, podatność nie została wykorzystana przez żadnych włamywaczy poza samym zespołem badawczym, który podzielił się odkryciem z Redmond. Zespół otrzymał nagrodę w wysokości 40 tysięcy dolarów w ramach programu Bug Bounty.

Zespół Wiz odkrył słabość w wizualizatorze danych Jupyter Notebook, którego obsługę Microsoft włączył dla wszystkich klientów. Firma wkrótce opublikuje szczegóły przeprowadzonego ataku, póki co informuje jedynie, że możliwe było podniesienie uprawnień na kontenerze z notebookiem tak, by móc dostać się do innych kontenerów oraz zdobyć klucze do bazy.

Zdobycz i reakcja

Zdobyte klucze (opisywane jako primary keys, choć jest to termin bazodanowy o nieco innym znaczeniu) posłużyły do dostępu do przestrzeni zarządzania notebookami oraz do bazy danych, która przechowuje ich zawartość. Wiz poinformował o tym odkryciu Redmond, a zespół techniczny Microsoftu zareagował błyskawicznie.

Część funkcji została wyłączona, Azure informuje o rekomendacji rotowania kluczy, a dziura jest już załatana. Zdarzenie to jednak pokazuje, jak rosnącym ryzykiem jest wynajmowanie oprogramowania i infrastruktury. Klient zdany jest w całości na bezpieczeństwo dostawcy chmury, choć należy mieć na uwadze to, że gdy to klient ma odpowiadać za swoją infrastrukturę, nierzadko radzi sobie z tym znacznie gorzej.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (81)