Брешь в облаке Microsoft Azure поставила под угрозу тысячи баз данных пользователей

МЕНЮ


Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ


Новости ИИРазработка ИИВнедрение ИИРабота разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика

Авторизация



RSS


RSS новости


Брешь в облаке Microsoft Azure поставила под угрозу тысячи баз данных пользователей. Уязвимость в службе Cosmos DB Microsoft Azure позволяла неавторизованным пользователям перехватывать реквизиты доступа к чужим базам данных. Проблема к настоящему времени устранена

Корпорация Microsoft сообщила об обнаружении и исправлении критической уязвимости в одной из важнейших служб ее облачной системы Azure. Баг позволял перехватывать полный контроль над пользовательскими базами данных. Уязвимость содержалась в Cosmos DB, глобально распределенной и полностью управляемой службе баз данных NoSQL, которой пользуются компании Mercedes Benz, Symantec, Coca-Cola, Exxon-Mobil, Citrix и др.

Как указывается в сообщении Microsoft, «баг обеспечивал пользователю возможность получения доступа к ресурсам других пользователей, используя первичный ключ чтения-записи».

Как выяснили эксперты компании Wiz, обнаружившие уязвимость, выявленная проблема позволяла эксплуатировать целую комбинацию багов во встроенной в Azure среде разработки Jupyter Notebook, позволяющей редактировать код и видеть результат его выполнения. Эксперты отметили, что уязвимость очень проста в эксплуатации и не требует предварительного доступа к целевым средам. Количество потенциальных жертв может исчисляться тысячами.

Информация от Wiz была передана в Microsoft 12 августа 2021 г. В течение последующих 48 часов возможность эксплуатации уязвимости была нейтрализована. 26 августа компания проинформировала около трети пользователей Cosmos DB об уязвимости. Информации о попытках практической эксплуатации бага злоумышленниками на данный момент нет.

Корпорация Microsoft выплатила экспертам Wiz вознаграждение в размере $45 тыс.

Пользователям Azure в Microsoft рекомендовали перевыпустить свои первичные ключи, а также принять ряд дополнительных мер для обеспечения защиты. Среди них — регулярный перевыпуск первичных и вторичных ключей, использование собственного файерволла и виртуальной сети Cosmos DB для контроля доступа к ресурсам, системы разграничения ролей RBAC для авторизации в Azure Active Directory, и т.д.

Также рекомендовано проверить логи активности в аккаунтах Cosmos DB для выявления возможных попыток эксплуатации уязвимости.

Комментарии: