Брешь в облаке Microsoft Azure поставила под угрозу тысячи баз данных пользователей |
||
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Разработка ИИГородские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ ИИ теория Внедрение ИИКомпьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Big data Работа разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика
Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Авторизация |
2021-10-17 12:38 Брешь в облаке Microsoft Azure поставила под угрозу тысячи баз данных пользователей. Уязвимость в службе Cosmos DB Microsoft Azure позволяла неавторизованным пользователям перехватывать реквизиты доступа к чужим базам данных. Проблема к настоящему времени устранена Корпорация Microsoft сообщила об обнаружении и исправлении критической уязвимости в одной из важнейших служб ее облачной системы Azure. Баг позволял перехватывать полный контроль над пользовательскими базами данных. Уязвимость содержалась в Cosmos DB, глобально распределенной и полностью управляемой службе баз данных NoSQL, которой пользуются компании Mercedes Benz, Symantec, Coca-Cola, Exxon-Mobil, Citrix и др. Как указывается в сообщении Microsoft, «баг обеспечивал пользователю возможность получения доступа к ресурсам других пользователей, используя первичный ключ чтения-записи». Как выяснили эксперты компании Wiz, обнаружившие уязвимость, выявленная проблема позволяла эксплуатировать целую комбинацию багов во встроенной в Azure среде разработки Jupyter Notebook, позволяющей редактировать код и видеть результат его выполнения. Эксперты отметили, что уязвимость очень проста в эксплуатации и не требует предварительного доступа к целевым средам. Количество потенциальных жертв может исчисляться тысячами. Информация от Wiz была передана в Microsoft 12 августа 2021 г. В течение последующих 48 часов возможность эксплуатации уязвимости была нейтрализована. 26 августа компания проинформировала около трети пользователей Cosmos DB об уязвимости. Информации о попытках практической эксплуатации бага злоумышленниками на данный момент нет. Корпорация Microsoft выплатила экспертам Wiz вознаграждение в размере $45 тыс. Пользователям Azure в Microsoft рекомендовали перевыпустить свои первичные ключи, а также принять ряд дополнительных мер для обеспечения защиты. Среди них — регулярный перевыпуск первичных и вторичных ключей, использование собственного файерволла и виртуальной сети Cosmos DB для контроля доступа к ресурсам, системы разграничения ролей RBAC для авторизации в Azure Active Directory, и т.д. Также рекомендовано проверить логи активности в аккаунтах Cosmos DB для выявления возможных попыток эксплуатации уязвимости. Источник: vk.com Комментарии: |
|