“La peor vulnerabilidad en la nube que pueda imaginar” descubierta en Microsoft Azure

Cosmos DB es una oferta de servicio de base de datos administrada, que incluye estructuras de datos relacionales y noSQL, que pertenece a la infraestructura de nube Azure de Microsoft.
Agrandar / Cosmos DB es una oferta de servicio de base de datos administrada, que incluye estructuras de datos relacionales y noSQL, que pertenece a la infraestructura de nube Azure de Microsoft.

Proveedor de seguridad en la nube Wiz Anunciado ayer que encontró una vulnerabilidad en el servicio de base de datos administrada de Microsoft Azure, Cosmos DB, que otorgó acceso de lectura / escritura para cada base de datos en el servicio a cualquier atacante que encontrara y explotara el error.

Aunque Wiz solo encontró la vulnerabilidad, a la que llamó “Chaos DB”, hace dos semanas, la compañía dice que la vulnerabilidad ha estado al acecho en el sistema durante “al menos varios meses, posiblemente años”.

Una honda alrededor de Jupyter

En 2019, Microsoft agregó la funcionalidad Jupyter Notebook de código abierto a Cosmos DB. Los cuadernos de Jupyter son una forma particularmente fácil de usar para implementar algoritmos de aprendizaje automático; Microsoft promovió Notebooks específicamente como una herramienta útil para la visualización avanzada de datos almacenados en Cosmos DB.

La funcionalidad de Jupyter Notebook se habilitó automáticamente para todas las instancias de Cosmos DB en febrero de 2021, pero Wiz cree que el error en cuestión probablemente se remonta más atrás, posiblemente desde la primera introducción de la función de Cosmos DB en 2019.

Wiz aún no está revelando todos los detalles técnicos, pero la versión corta es que una mala configuración en la función de Jupyter abre un exploit de escalada de privilegios. Se podría abusar de ese exploit para obtener acceso a las claves principales de otros clientes de Cosmos DB, según Wiz, alguna la clave principal de otro cliente de Cosmos DB, junto con otros secretos.

El acceso a la clave principal de una instancia de Cosmos DB es “fin del juego”. Permite permisos completos de lectura, escritura y eliminación a toda la base de datos que pertenece a esa clave. El director de tecnología de Wiz, Ami Luttwak, describe esto como “la peor vulnerabilidad en la nube que pueda imaginar”, y agregó: “Esta es la base de datos central de Azure y pudimos obtener acceso a cualquier base de datos de clientes que quisiéramos”.

Secretos de larga vida

A diferencia de los tokens y secretos efímeros, la clave principal de un Cosmos DB no caduca; si ya se ha filtrado y no se ha cambiado, un atacante aún podría usar esa clave para exfiltrar, manipular o destruir la base de datos dentro de unos años.

Según Wiz, Microsoft solo envió un correo electrónico al 30 por ciento aproximadamente de sus clientes de Cosmos DB sobre la vulnerabilidad. El correo electrónico advirtió a esos usuarios que rotaran su clave principal manualmente, para asegurarse de que las claves filtradas ya no sean útiles para los atacantes. Esos clientes de Cosmos DB son los que tenían la funcionalidad Jupyter Notebook habilitada durante la semana en la que Wiz exploró la vulnerabilidad.

Desde febrero de 2021, cuando se crearon todas las nuevas instancias de Cosmos DB con las funciones de Jupyter Notebook habilitadas, el servicio de Cosmos DB deshabilitó automáticamente la funcionalidad de Notebook si no se usó en los primeros tres días. Esta es la razón por la que la cantidad de clientes de Cosmos DB notificados fue tan baja: el 70 por ciento aproximadamente de los clientes no notificado por Microsoft había desactivado manualmente Jupyter o lo había desactivado automáticamente debido a la falta de uso.

Desafortunadamente, esto realmente no cubre todo el alcance de la vulnerabilidad. Debido a que cualquier instancia de Cosmos DB con Jupyter habilitado era vulnerable, y debido a que la clave principal no es un secreto efímero, es imposible saber con certeza quién tiene las claves de qué instancias. Un atacante con un objetivo específico podría haber cosechado silenciosamente la clave principal de ese objetivo pero no haber hecho nada lo suficientemente desagradable como para ser notado (todavía).

Tampoco podemos descartar un escenario de impacto más amplio, con un atacante hipotético que extrajo la clave principal de cada nueva instancia de Cosmos DB durante su ventana de vulnerabilidad inicial de tres días y luego guardó esas claves para un posible uso posterior. Estamos de acuerdo con Wiz aquí, si su instancia de Cosmos DB pudiera siempre tiene habilitada la funcionalidad del cuaderno Jupyter, debe rotar sus llaves inmediatamente para garantizar la seguridad en el futuro.

La respuesta de Microsoft

Microsoft desactivó la vulnerabilidad Chaos DB hace dos semanas, menos de 48 horas después de que Wiz la informara en forma privada. Desafortunadamente, Microsoft no puede cambiar las claves primarias de sus clientes por sí mismo; los clientes de Cosmos DB tienen la responsabilidad de rotar sus llaves.

Según Para Microsoft, no hay evidencia de que ningún actor malintencionado haya encontrado y explotado Chaos DB antes del descubrimiento de Wiz. Una declaración enviada por correo electrónico de Microsoft a Bloomberg decía: “No tenemos conocimiento de que se haya accedido a ningún dato de cliente debido a esta vulnerabilidad”. Además de advertir a más de 3.000 clientes sobre la vulnerabilidad y proporcionar instrucciones de mitigación, Microsoft pagó a Wiz una recompensa de 40.000 dólares.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.