Microsoft advirtió a los clientes de Azure que una vulnerabilidad en Azure Cosmos DB que ya estaría corregida, permitía a cualquier usuario hacerse cargo de forma remota de las bases de datos de otros usuarios al otorgarles acceso de administrador completo sin necesidad de autorización.
Azure Cosmos DB
Azure Cosmos DB es un servicio de base de datos NoSQL totalmente administrado y distribuido globalmente utilizado por clientes de alto perfil, incluidos Mercedes Benz, Symantec, Coca-Cola, Exxon-Mobil y Citrix.
ChaosDB
Investigadores de la empresa Wiz de seguridad cloud, descubrieron la falla de seguridad, denominándola como “ChaosDB2” y fue revelada a Microsoft el 12 de agosto de 2021.
La falla permitiría a ciberactores explotar una cadena de errores en la función Jupyter Notebook, habilitada de forma predeterminada y diseñada para ayudar a los clientes a visualizar datos.
La explotación exitosa daría acceso a las credenciales de Cosmos DB de otros usuarios, incluida su clave principal, proporcionando acceso remoto completo y sin restricciones a las bases de datos y cuentas de los clientes de Microsoft Azure.
A pedido de Microsoft, los investigadores aún no han publicado información técnica sobre la falla de ChaosDB que podría ayudar a los actores de amenazas a crear sus propios exploits.
Mitigación
Microsoft deshabilitó la función de punto de entrada vulnerable dentro de las 48 horas posteriores a la recepción del informe y alertó a más del 30% de los clientes de Cosmos DB sobre una posible violación de seguridad el 26 de agosto, dos semanas después de deshabilitar la función defectuosa de Jupyter Notebook.
Microsoft recomendó a los clientes que realicen las siguientes acciones para proteger aún más sus bases de datos de Azure Cosmos DB:
Regeneración de las claves primarias de Cosmos DB que podrían haber sido robadas antes de que se deshabilitara la característica vulnerable.
Programe una rotación y regeneración periódica de sus claves primarias y secundarias.
Como práctica recomendada de seguridad estándar, considere usar el firewall de Azure Cosmos DB y la integración de red virtual para controlar el acceso a sus cuentas a nivel de red.
Si usa la API de Azure Cosmos DB Core (SQL), considere usar el control de acceso basado en roles (RBAC) de Azure Cosmos DB para autenticar las operaciones de su base de datos con Azure
Active Directory en lugar de claves primarias / secundarias. Con RBAC, tiene la opción de deshabilitar completamente las claves primarias / secundarias de su cuenta.
Revisar toda la actividad pasada en sus cuentas de Cosmos DB para detectar intentos anteriores de aprovechar esta vulnerabilidad.
Declaración de Microsoft ChaosDB:
“Microsoft se ha dado cuenta recientemente de una vulnerabilidad en Azure Cosmos DB que podría permitir que un usuario obtenga acceso a los recursos de otro cliente mediante el uso de la clave principal de lectura y escritura de la cuenta. Esta vulnerabilidad nos la informó confidencialmente un investigador de seguridad externo. Una vez que nos dimos cuenta de este problema el 12 de agosto de 2021, mitigamos la vulnerabilidad de inmediato.
Panorama
Si bien Microsoft aclara no tener antecedentes que confirmen un posible acceso a los datos aprovechando esta vulnerabilidad, es importante destacar que próximamente investigadores de Wiz publicaran información técnica que podría ayudar a ciberactores a crear exploit por lo que las organizaciones debieran seguir las recomendaciones emitidas por Microsoft, especialmente las que tiene relación con programación de una rotación y regeneración periódica de sus claves primarias y secundarias.
Fuente: www.entel.cl
