文章转载自大数据文摘|BigDataDiges
你能想到的“最可怕的漏洞”是什麼樣子的?
最近,安全家公司 Wiz 報告了 Microsoft Azure 基礎設施中的一個“超級漏洞”,這一漏洞下,駭客能夠訪問、修改和刪除數千名 Azure 客戶的資料。
微軟目前已經向客戶告知了這一漏洞的存在。
“你能想到的最可怕的漏洞”
8月9日,專業安全公司Wiz 的首席技術官 Ami Luttwak釋出了一篇部落格《ChaosDB:我們是如何入侵包含數千個 Azure 客戶的資料庫的》,表示他們發現了微軟Azure Cosmos DB Jupyter Notebook 功能中的漏洞,並在三天後向微軟報告。Ami Luttwak也是微軟雲安全集團的前首席技術官。
Wiz在這份部落格中稱,”我們能夠完全不受限制地訪問數千個 Microsoft Azure 客戶(包括許多全球500 強公司)的帳戶和資料庫。” Wit將此漏洞命名為#ChaosDB,並且公佈了其入侵這一資料庫的全過程:
第 1 步:獲取 Cosmos DB 客戶的主鍵
首先,我們獲得了對客戶 Cosmos DB 主鍵的訪問許可權。
2019 年,微軟向 Cosmos DB 添加了一項名為 Jupyter Notebook 的功能,讓客戶可以視覺化他們的資料並建立自定義檢視。該功能已於 2021 年 2 月自動為所有 Cosmos DB 啟用。
Notebook功能中的一系列錯誤配置讓我們能夠找到新的攻擊向量。簡而言之,Notebook允許將許可權擴充至其他客戶筆記本。
因此,攻擊者可以訪問客戶的 Cosmos DB 主鍵和其他高度敏感的機密,例如Notebook blob 儲存訪問令牌。
第 2 步:訪問 Cosmos DB 中的客戶資料
接下來,在收集 Cosmos DB 機密後,攻擊者可以利用這些金鑰對儲存在受影響的 Cosmos DB 帳戶中的所有資料進行管理員訪問。
我們洩露了金鑰以獲得對客戶資產和資料的長期訪問。然後,我們可以直接從 Internet 控制客戶 Cosmos DB,並擁有完整的讀/寫/刪除許可權。
微軟警告全球客戶,獎勵Wiz 4萬美元
Wiz很快向微軟釋出了該漏洞,微軟也因此釋出了一份宣告, 稱它立即解決了這個問題。微軟感謝安全研究人員作為協調披露漏洞的一部分所做的工作。微軟還透過電子郵件告訴 Wiz,它計劃支付 40,000 美元用於報告該漏洞。
8 月 26 日,微軟透過電子郵件通知了數千名受此問題影響的雲客戶。該郵件中,微軟警告其客戶,攻擊者有能力讀取、修改甚至刪除所有主要資料庫。Wiz正是透過獲得對主要讀寫金鑰的訪問許可權,才能獲得對客戶資料庫的完全訪問許可權。由於微軟自己無法更改這些金鑰,因此該公司要求其客戶採取行動並交換 CosmosDB 的這個主金鑰作為預防措施。雖然安全漏洞已經被關閉,但客戶應該採取這一步來最終防止可能的資料庫洩露。微軟在訊息中進一步寫道,他們沒有發現第三方(Wiz 除外)訪問過這些金鑰的證據。
通知郵件還遠遠不夠
Luttwak 告訴路透社,微軟這一警告郵件還不夠:該公司僅在 Wiz 發現並調查問題的同一個月寫信給那些易受攻擊的金鑰可見的客戶。但是,攻擊者本來可以檢視更多客戶的金鑰,因為該漏洞已在 2019 年首次釋出 Jupyter 功能時引入。每個使用該功能的 Cosmos DB 帳戶都存在潛在風險。從今年 2 月開始,每個新建立的 Cosmos DB 帳戶都預設啟用筆記本功能至少三天,即使客戶不知道並且從未使用過該功能,他們的主鍵也可能已經暴露。
由於主鍵是一個持久的秘密,不會自動更新,即使受影響的公司關閉了 Cosmos DB 中的 Jupyter 功能,潛在的攻擊者仍然可以濫用獲得的金鑰。
儘管受到 Wiz 的批評,微軟並未通知所有將 Jupyter Notebook 功能開啟到 Cosmos DB 的客戶。當被問及此事時,微軟只告訴路透社 ,它已通知可能受影響的客戶,但沒有進一步解釋該宣告。
美國國土安全部的網路安全和基礎設施安全域性也就此釋出了公告,並使用了更強硬的語言,明確表示它不僅針對那些收到通知的客戶,而且針對使用 Azure Cosmos DB 的每個使用者:“CISA 強烈鼓勵 Azure Cosmos DB 客戶滾動和重新生成他們的證書金鑰”。
加密!加密!加密!
Luttwak 說:“這是你能想象到的最嚴重的雲漏洞。這是 Azure 的中央資料庫,我們能夠訪問我們想要的任何客戶資料庫。”
這個 Microsoft 漏洞對於任何使用 Cosmos DB 的公司來說都是一場噩夢。成千上萬的公司,其中包括全球500 強企業在內的許多全球公司,只要使用 Miscrosoft 的 Azure Cosmos DB 來近乎實時地管理來自世界各地的大量資料,那麼他們的資料現在可能面臨被駭客入侵、被盜甚至刪除的風險。
在部落格中,Wiz表示,“近年來,隨著越來越多的公司遷移到雲,資料庫暴露變得異常普遍,罪魁禍首通常是客戶環境中的錯誤配置。”
為了降低此類威脅發生的可能性,想要將資料移至雲端的公司只有一種選擇:加密。這裡的加密並不是指伺服器端加密,而是真正的端到端加密,這可以讓所有人,甚至服務提供商 — — 都無法掌握金鑰。
對 Miscrosoft 的 Azure 資料庫的駭客攻擊再次表明,加密是我們抵禦惡意攻擊者和保護資料安全的最佳工具。當資料儲存在雲中時,正確保護這些資料的唯一方法是端到端加密 — 沒有任何型別的後門。
