Утечка Azure Cosmos DB

В нереляционной облачной базе данных Azure Cosmos DB под названием ChaosDB обнаружена уязвимость, которая позволяет удаленно управлять данными, хранящимися в ней. Хорошая новость заключается в том, что уже разработана процедура для устраните эту угрозу.

Уязвимость позволяет хакерам не только читать данные, но также изменять и удалять их. Microsoft узнала об этой угрозе в начале августа и начала разработку исправления. Это опасно, поскольку дает любому пользователю облака Azure возможность получить полный доступ (чтение, запись и удаление) к экземпляру Cosmos DB другого пользователя без аутентификации.

По сути, это банальная уязвимость. Потенциальному хакеру достаточно прочитать опубликованное ранее описание работы открытого веб-приложения под названием Jupyter Notebook (которое позволяет визуализировать данные, хранящиеся в Azure Cosmos DB) и умело использовать описанные там функции. Это приложение было добавлено в базу данных ранее в этом году и тесно интегрировано с учетными записями Azure Portal и Cosmos DB.

Автор зная рабочее описание этого приложения, хакер может получить доступ к учетным данным целевой учетной записи Azure Cosmos DB, включая первичный ключ этой базы данных. С учетными данными злоумышленник может просматривать, изменять и удалять данные в целевой учетной записи Cosmos DB.

У Microsoft есть простой совет. Чтобы исправить эту дыру, пользователю службы просто нужно повторно сгенерировать первичные ключи, поддерживающие каждую потенциально затронутую учетную запись Azure Cosmos DB. Однако ИТ-специалисты из WIZ предупреждают, что хакеры использовали эту уязвимость в течение нескольких месяцев и фактически могли украсть данные у любого пользователя базы данных Azure Cosmos DB в течение этого времени.