Компания Wiz, которая специализируется на безопасности облачных систем, обнаружила в СУБД CosmosDB для Microsoft Azure брешь. Она давала доступ для чтения и записи для каждой базы данных в сервисе, причём этим мог воспользоваться любой злоумышленник. Уязвимость, обнаруженную чуть больше двух недель назад, назвали ChaosDB, но, как утверждается, она существует уже месяцы или даже годы. Вчера Wiz выпустила рекомендации по защите ChaosDB.
Проблема кроется в функциональности Jupyter Notebook, которая появилась в Cosmos DB в 2019 году. Эта система позиционируется как полезный инструмент для расширенной визуализации данных, хранящихся в CosmosDB. Jupyter Notebook по умолчанию включили для всех пользователей в феврале 2021 года, однако, по мнению специалистов Wiz, ошибка была там изначально — ещё до 2019 года.
Неправильная конфигурация Jupyter Notebook позволяет повысить привилегии, что открывает доступ к первичным ключам (Primary Key) других клиентов CosmosDB и иным данным. Это даёт хакеру права на чтение, запись и удаление для всех баз данных, привязанных к этому ключу. Эксперты Wiz уже описали это как «худшую уязвимость в облаке, которую вы можете себе представить».
При этом срок действия первичного ключа CosmosDB не лимитирован, то есть брешь можно использовать через годы после его получения. Поскольку ключи находятся в ведении клиентов, а сама Microsoft доступа к ним не имеет, компания была вынуждена отправить уведомления с предложением изменить ключ самостоятельно. Правда, коснулось это порядка 30% пользователей CosmosDB.
Говорится, что несмотря на включение Jupyter Notebook при создании новых экземпляров CosmosDB с февраля этого года, если эта функция не использовалась в течение первых 3 дней (таковых было порядка 70%), она отключалась. Тем не менее, ключи рекомендуется сгенерировать заново, а также уделить внимание настройкам доступа в целом.
