Hakerom udaje się zniszczyć klaster bazy danych Azure Cosmos DB firmy Microsoft, ujawniając słabe praktyki bezpieczeństwa
2 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Badacze bezpieczeństwa firmy Wiz zdołali złamać panel sterowania usługi bazowej obsługującej Azure CosmosDB, co dało im pełne uprawnienia do odczytu i zapisu w stosunku do wszystkich innych baz danych klientów w tym samym klastrze.
Korzystając z dostępu, byli w stanie uzyskać klucze podstawowe w postaci zwykłego tekstu „dla dowolnej instancji Cosmos DB działającej w naszym klastrze”, a także wykonać dowolny kod w instancjach Jupyter Notebook innych klientów.
„Używając tylko jednego certyfikatu, udało nam się uwierzytelnić w wewnętrznych wystąpieniach sieci szkieletowej usług wielu regionów [Azure Cosmos], które były dostępne z Internetu”.
„Po prostu szukaliśmy błędnych konfiguracji”, powiedział jeden z zespołu Wiz, badacz Nir Ohfeld, podczas wywiadu dla The Register.
„Z jakiegoś nieznanego powodu proces hosta dla C# działał z uprawnieniami roota, co oznaczało, że każdy kod C# byłby również wykonywany jako root. Wykorzystaliśmy tę błędną konfigurację do eskalacji naszych uprawnień w kontenerze”.
„Między nami nazywamy to ucieczką z Matrixa. Przeszliśmy od zarządzania przez usługę do zarządzania usługą” — powiedział kolega naukowy Sagi Tzadik.
Tzadik dodał, że złośliwa osoba z tymi kluczami mogła nawet zaszyfrować każdą bazę danych klientów w zasięgu – potencjalnie tysiące, z nieco bardziej bocznym ruchem w warstwie zarządzania Azure Cosmos.
Chociaż konkretna luka została już naprawiona, włamanie ujawniło słabe podstawowe praktyki bezpieczeństwa na platformie Microsoft Azure, klejnotu koronnym firmy, na którym polegają zarówno agencje szpiegowskie, jak i rządy.
Opis pełnego włamania można przeczytać na stronie Wiz tutaj.
przez Rejestr