Estás leyendo la publicación: Cosmo DB a ChaosDB: Infracción importante de Azure expone miles de cuentas vulnerables
Microsoft Azure Cosmo DB, una base de datos NoSQL completamente administrada para el desarrollo de aplicaciones modernas, fue violada con éxito. La empresa de seguridad Wiz pudo obtener acceso completo y sin restricciones a miles de clientes de Azure, incluidas muchas empresas de Fortune 500, a través de una función de Jupyter Notebook.
Los investigadores de seguridad de Wiz dieron a conocer la noticia del ataque, lo que envió al equipo de Microsoft a actuar rápidamente. El equipo pudo desactivar la función vulnerable en 48 horas. Además, se está desarrollando un rediseño de seguridad para todos los clientes.
Esta brecha de seguridad se produce inmediatamente después del ataque Solarwind del año pasado, que comprometió a varias organizaciones, incluida Microsoft.
Cosmos DB a ChaosDB
Algunas de las empresas más grandes e influyentes del mundo utilizan Cosmos DB para administrar grandes cantidades de datos del mundo casi en tiempo real. Características como la velocidad y el rendimiento respaldados por SLA, el acceso global rápido y la elasticidad instantánea lo convierten en uno de los favoritos. También es una de las formas más sencillas de almacenar datos. Cosmos DB impulsa funciones críticas como el procesamiento de transacciones de recetas y la gestión del flujo de pedidos de clientes en sitios web de comercio electrónico.
Los ataques a las bases de datos se han vuelto cada vez más comunes en los últimos años. Esto podría estar relacionado con más empresas que se mudan a la nube. Como revela la exposición reciente, Cosmos DB tampoco ha sido inmune a estas infracciones.
El equipo de Wiz revela que una serie de fallas en Cosmos DB dieron como resultado lagunas que permitían a cualquier usuario descargar, eliminar y manipular una gran colección de una base de datos comercial. Estas lagunas también permitieron el acceso de lectura/escritura de terceros a la arquitectura subyacente de Cosmos DB. El equipo de Wiz llamó a esta vulnerabilidad #ChaosDB.
El ataque
El equipo de Wiz pudo obtener acceso a la clave principal de Cosmos DB de los clientes, lo que les permite leer, escribir o eliminar el acceso a los datos del cliente. Para permitir que los clientes visualicen sus datos y creen vistas personalizadas, Microsoft introdujo la función Jupyter Notebook en Cosmos DB. En febrero de 2021, esta función se activó automáticamente para todos los usuarios. Sin embargo, una serie de errores de configuración en esta característica la hicieron vulnerable a los ataques. Permitió una escalada de privilegios a otros portátiles de clientes. Esto significaba que un atacante podía acceder a las claves principales y otros datos confidenciales, como el almacenamiento de blobs de portátiles.
Luego, el equipo exfiltró las claves para obtener acceso a largo plazo a los activos del cliente. Esto hizo posible controlar Cosmos DB del cliente directamente desde Internet.
Si bien Microsoft pudo deshabilitar la función Jupyter Notebook en un corto período de tiempo, es posible que algunos de los clientes aún se vean afectados ya que sus claves de acceso principal pueden haber quedado expuestas. Microsoft se comunicó solo con los clientes afectados durante el período de investigación de Wiz, que no se extendió más allá de una semana. Wiz informó a través de su blog que Microsoft ha notificado a más del 30 por ciento de los clientes de Cosmos DB que cambien sus claves de acceso para mitigar la exposición manualmente.
Crédito: Wiz
Si bien Microsoft inicialmente negó el ataque, ahora acordó pagarle a Wiz $ 40,000 para encontrar la vulnerabilidad e informarla. Microsoft dijo que el problema se resolvió de inmediato para proteger la seguridad y privacidad de los clientes en respuesta a una consulta de los medios. La compañía también agradeció a los investigadores de Wiz por la “divulgación coordinada de vulnerabilidades”.
La agencia del gobierno de EE. UU., la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también ha tomado nota de la vulnerabilidad. En una declaración oficial, la organización dijo: “Aunque la configuración incorrecta parece haberse solucionado dentro de la nube de Azure, CISA alienta encarecidamente a los clientes de Azure Cosmos DB a activar y regenerar sus claves de certificado y revisar la guía de Microsoft sobre cómo proteger el acceso a los datos en Azure Cosmos DB”.
Instancias anteriores
En diciembre del año pasado, un desarrollador de aplicaciones con sede en el Reino Unido, Probase, identificó una base de datos en la nube de Azure no segura y pudo exponer información como registros médicos, datos de contratación, documentos de reclamos de seguros y evaluaciones de salud ocupacional. Según The Register, que primero reveló la historia, se dejaron hasta 587,000 archivos en un Azure Blob desprotegido. Significa que el blob estaba completamente orientado al público, y cualquier persona con la dirección de los archivos podía verlos sin ninguna autenticación.
Un incidente más reciente ocurrió a principios de este año. En enero, un proveedor de VPN y privacidad web, vpnMentor, descubrió una mancha de almacenamiento en la nube con fugas como parte de su proyecto de mapeo web. Se sospechaba que Microsoft era el propietario del blob de almacenamiento en cuestión.
