[ad_1]

Cosmos DB یک سرویس پایگاه داده مدیریت شده است - شامل ساختار داده های رابطه ای و noSQL - متعلق به زیرساخت ابری Azure مایکروسافت.
بزرگنمایی / Cosmos DB یک سرویس پایگاه داده مدیریت شده است – شامل ساختار داده های رابطه ای و noSQL – که به زیرساخت ابری Azure مایکروسافت تعلق دارد.

ارائه دهنده امنیت ابر Wiz دیروز اعلام کرد که در سرویس پایگاه داده مدیریت شده Microsoft Azure ، Cosmos DB ، یک آسیب پذیری پیدا کرده است ، که دسترسی خواندن / نوشتن به هر پایگاه داده ای را در سرویس هر مهاجمی که خطا را تشخیص داده و استفاده کرده است ، فراهم می کند.

اگرچه Wiz این آسیب پذیری را – که آن را “Chaos DB” نامید – دو هفته پیش کشف کرد ، اما این شرکت می گوید این آسیب پذیری “حداقل چند ماه ، احتمالاً سالها” در سیستم کمین کرده است.

زنجیر در اطراف Jupyter

در سال 2019 ، مایکروسافت قابلیت منبع باز Jupyter Notebook را به Cosmos DB اضافه کرد. نوت بوک های Jupyter روشی بسیار کاربردی برای پیاده سازی الگوریتم های یادگیری ماشین هستند. مایکروسافت به طور خاص نوت بوک ها را به عنوان یک ابزار مفید برای تجسم پیشرفته داده های ذخیره شده در Cosmos DB تبلیغ می کند.

قابلیت Jupyter Notebook در فوریه 2021 به طور خودکار برای همه موارد Cosmos DB فعال شد ، اما Wiz معتقد است که این اشکال به احتمال زیاد به عقب برمی گردد – احتمالاً تا اولین معرفی ویژگی Cosmos DB در سال 2019.

Wiz هنوز همه جزئیات فنی را ارائه نمی دهد ، اما نسخه کوتاه آن این است که پیکربندی نادرست در ویژگی Jupyter باعث افزایش بهره وری می شود. به گفته Wiz ، این سوء استفاده می تواند برای دسترسی به کلیدهای اصلی سایر مشتریان Cosmos DB مورد سوء استفاده قرار گیرد. همه نوع کلید اصلی دیگر مشتری Cosmos DB ، همراه با اسرار دیگر.

دسترسی به کلید اصلی نسخه کپی Cosmos DB “بازی تمام شد” است. این اجازه می دهد تا مجوزهای کامل را بخوانید ، بنویسید و کل پایگاه داده متعلق به این کلید را حذف کنید. آمی لوتواک ، مدیر فناوری Wiz این را “بدترین آسیب پذیری ابری که می توانید تصور کنید” توصیف کرد و افزود: “این پایگاه داده مرکزی Azure است و ما توانستیم به هر پایگاه داده مشتری که می خواهیم دسترسی پیدا کنیم.”

اسرار طولانی مدت

بر خلاف اسرار و نمادهای زودگذر ، کلید اصلی Cosmos DB منقضی نمی شود – اگر سالها قبل منقضی شده و تغییر نکرده باشد ، مهاجم می تواند سالها بعد از این کلید برای فیلتر کردن ، دستکاری یا تخریب پایگاه داده استفاده کند.

به گفته ویز ، مایکروسافت تنها حدود 30 درصد از مشتریان خود را در مورد آسیب پذیری به Cosmos DB ایمیل کرده است. این ایمیل به این کاربران هشدار داد که کلید اصلی خود را به صورت دستی بچرخانند تا مطمئن شوند که کلیدهای منقضی شده دیگر برای مهاجمان مفید نیستند. این مشتریان Cosmos DB کسانی هستند که عملکرد Jupyter Notebook را در هفته ای که Wiz آسیب پذیری را بررسی می کند ، فعال کردند.

از فوریه 2021 ، زمانی که همه موارد جدید Cosmos DB با ویژگی های Jupyter Notebook ایجاد شد ، خدمات Cosmos DB به طور خودکار عملکرد نوت بوک را در سه روز اول غیرفعال می کند. به همین دلیل است که تعداد مشتریان مطلع Cosmos DB بسیار کم بود – حدود 70 of از مشتریان نه مایکروسافت اعلام کرده است که Jupyter را به صورت دستی غیرفعال کرده یا به دلیل عدم استفاده به طور خودکار آن را غیرفعال کرده است.

متأسفانه ، این محدوده کامل آسیب پذیری را پوشش نمی دهد. از آنجا که هر نمونه ای از Cosmos DB با Jupyter فعال است آسیب پذیر است و از آنجا که کلید اصلی یک راز زودگذر نیست ، نمی توان به طور دقیق دانست که چه کسی کلیدهای چه مواردی را دارد. مهاجمی با یک هدف خاص می تواند به راحتی کلید اصلی این هدف را بگیرد ، اما او هیچ کار زننده ای انجام نداده است که مورد توجه قرار گیرد (هنوز).

همچنین نمی توانیم سناریوی تأثیر گسترده تری را رد کنیم ، به گونه ای که یک مهاجم فرضی کلید اصلی را از هر نسخه جدید Cosmos DB در پنجره آسیب پذیری اولیه سه روزه برداشته و سپس آن کلیدها را برای استفاده بعدی احتمالی ذخیره کند. ما در اینجا با Wiz موافقیم – اگر کپی شما از Cosmos DB می تواند چند وقت با قابلیت نوت بوک Jupyter فعال ، باید فوراً کلیدهای آن را بچرخانید تا امنیت در آینده تضمین شود.

پاسخ مایکروسافت

مایکروسافت دو هفته پیش ، کمتر از 48 ساعت پس از گزارش خصوصی Wiz ، آسیب پذیری Chaos DB را غیرفعال کرد. متأسفانه ، مایکروسافت نمی تواند به تنهایی کلیدهای اصلی مشتریان خود را تغییر دهد. وظیفه مشتریان Cosmos DB این است که کلیدهای خود را بچرخانند.

به گفته مایکروسافت ، هیچ مدرکی وجود ندارد که نشان دهد بازیگران مخرب Chaos DB را قبل از کشف Wiz کشف کرده و از آن استفاده کرده اند. در بیانیه مایکروسافت به بلومبرگ آمده است: “ما از دسترسی به داده های مشتریان به دلیل این آسیب پذیری مطلع نیستیم.” مایکروسافت علاوه بر هشدار به بیش از 3000 مشتری در مورد آسیب پذیری و ارائه دستورالعمل های کاهش ، 40،000 دلار به ویز پرداخت کرد.

[ad_2]

منبع: tarjome-news.ir