Los piratas informáticos logran destruir el clúster de base de datos Azure Cosmos DB de Microsoft y revelan malas prácticas de seguridad

Los investigadores de seguridad de Wiz lograron descifrar el panel de control del servicio subyacente que aloja Azure CosmosDB, lo que les otorgó privilegios completos de lectura y escritura sobre todas las demás bases de datos de clientes en el mismo clúster.

Con el acceso, pudieron obtener claves primarias de texto sin formato "para cualquier instancia de Cosmos DB que se ejecute en nuestro clúster", así como ejecutar código arbitrario en las instancias de Jupyter Notebook de cualquier otro cliente.

"Con solo un certificado, logramos autenticarnos en instancias internas de Service Fabric de varias regiones [de Azure Cosmos] a las que se podía acceder desde Internet".

“Estábamos, simplemente, buscando configuraciones erróneas”, dijo uno de los miembros del equipo de Wiz, el investigador Nir Ohfeld, durante una entrevista con The Register.

“Por alguna razón desconocida, el proceso de host para C# específicamente se ejecutaba con privilegios de root, lo que significaba que cualquier código de C# también se ejecutaría como root. Usamos esta mala configuración para escalar nuestros privilegios dentro del contenedor”.

“Entre nosotros, lo referimos como escapar de Matrix. Pasamos de ser administrados por el servicio a administrar el servicio”, dijo el colega investigador Sagi Tzadik.

Tzadik agregó que una persona malintencionada con esas claves podría incluso haber cifrado todas las bases de datos de clientes a su alcance, potencialmente miles, con un poco más de movimiento lateral a través de la capa de administración de Azure Cosmos.

Si bien la vulnerabilidad específica ya se ha solucionado, el ataque reveló prácticas de seguridad subyacentes deficientes en Azure de Microsoft, la joya de la corona de la empresa, en la que confían las agencias de espionaje y los gobiernos por igual.

Se puede leer una reseña del truco completo en el sitio web de Wiz. esta página.

vía El registro