Fournisseur de sécurité cloud Wiz annoncé Hier, il a découvert une vulnérabilité dans le service de base de données gérée de Microsoft Azure, Cosmos DB, qui accordait un accès en lecture/écriture pour chaque base de données du service à tout attaquant ayant trouvé et exploité le bogue.
Bien que Wiz n’ait trouvé la vulnérabilité – qu’il a nommée « Chaos DB » – qu’il y a deux semaines, la société affirme que la vulnérabilité se cache dans le système depuis « au moins plusieurs mois, voire des années ».
Une fronde autour de Jupyter
-
La fonctionnalité de bloc-notes Jupyter dans CosmosDB permet de nombreuses techniques avancées de visualisation de données avec relativement peu d’expérience ou d’effort de codage.
-
Une vulnérabilité d’élévation des privilèges permettait à toute personne possédant un compte Cosmos DB de voler la clé privée de tout autre compte Cosmos DB, via la fonctionnalité de bloc-notes Jupyter.
-
Une fois qu’un attaquant dispose de la clé primaire de la victime, le jeu est terminé : un accès complet en lecture/écriture/suppression est accordé de façon permanente et ne peut être révoqué sans remplacer les clés affectées.
En 2019, Microsoft a ajouté l’open source Cahier Jupyter fonctionnalité à Cosmos DB. Les Jupyter Notebooks sont un moyen particulièrement convivial d’implémenter des algorithmes d’apprentissage automatique ; Microsoft a promu Notebooks spécifiquement comme un outil utile pour la visualisation avancée des données stockées dans Cosmos DB.
La fonctionnalité Jupyter Notebook a été activée automatiquement pour toutes les instances de Cosmos DB en février 2021, mais Wiz pense que le bogue en question remonte probablement à plus loin, peut-être jusqu’à la première introduction de la fonctionnalité par Cosmos DB en 2019.
Wiz ne donne pas encore tous les détails techniques, mais la version courte est qu’une mauvaise configuration dans la fonctionnalité Jupyter ouvre un exploit d’escalade de privilèges. Cet exploit pourrait être abusé pour accéder aux clés primaires d’autres clients Cosmos DB – selon Wiz, tout clé primaire d’un autre client Cosmos DB, ainsi que d’autres secrets.
L’accès à la clé primaire d’une instance Cosmos DB est « game over ». Il accorde des autorisations complètes de lecture, d’écriture et de suppression sur l’ensemble de la base de données appartenant à cette clé. Le directeur de la technologie de Wiz, Ami Luttwak, décrit cela comme « la pire vulnérabilité du cloud que vous puissiez imaginer », ajoutant: « Il s’agit de la base de données centrale d’Azure, et nous avons pu accéder à n’importe quelle base de données client que nous voulions ».
Secrets de longue date
Contrairement aux secrets et aux jetons éphémères, la clé primaire d’une base de données Cosmos n’expire pas. Si elle a déjà été divulguée et n’est pas modifiée, un attaquant pourrait toujours utiliser cette clé pour exfiltrer, manipuler ou détruire la base de données dans des années.
Selon Wiz, Microsoft n’a envoyé un e-mail qu’à 30 % environ de ses clients Cosmos DB au sujet de la vulnérabilité. L’e-mail a averti ces utilisateurs de faire pivoter leur clé primaire manuellement, afin de s’assurer que les clés divulguées ne sont plus utiles aux attaquants. Ces clients Cosmos DB sont ceux qui ont activé la fonctionnalité Jupyter Notebook au cours de la semaine environ au cours de laquelle Wiz a exploré la vulnérabilité.
Depuis février 2021, lorsque toutes les nouvelles instances Cosmos DB ont été créées avec les fonctions Jupyter Notebook activées, le service Cosmos DB désactivait automatiquement la fonctionnalité Notebook si elle n’était pas utilisée dans les trois premiers jours. C’est pourquoi le nombre de clients Cosmos DB notifiés était si faible : environ 70 % de clients ne pas notifié par Microsoft avait soit désactivé manuellement Jupyter, soit l’avait désactivé automatiquement en raison d’un manque d’utilisation.
Malheureusement, cela ne couvre pas vraiment toute la portée de la vulnérabilité. Étant donné que toute instance de Cosmos DB avec Jupyter activé était vulnérable et que la clé primaire n’est pas un secret éphémère, il est impossible de savoir avec certitude qui détient les clés de quelles instances. Un attaquant avec une cible spécifique aurait pu récolter discrètement la clé primaire de cette cible mais n’avoir rien fait d’assez odieux pour être remarqué (encore).
Nous ne pouvons pas non plus exclure un scénario d’impact plus large, avec un attaquant hypothétique qui a récupéré la clé primaire de chaque nouvelle instance Cosmos DB au cours de sa fenêtre de vulnérabilité initiale de trois jours, puis a enregistré ces clés pour une utilisation ultérieure potentielle. Nous sommes d’accord avec Wiz ici, si votre instance Cosmos DB déjà avez activé la fonctionnalité de bloc-notes Jupyter, vous devriez tourner ses clés immédiatement pour assurer la sécurité à l’avenir.
La réponse de Microsoft
Microsoft a désactivé la vulnérabilité Chaos DB il y a deux semaines, moins de 48 heures après que Wiz l’ait signalée en privé. Malheureusement, Microsoft ne peut pas modifier lui-même les clés primaires de ses clients ; il incombe aux clients de Cosmos DB de faire tourner leurs clés.
Selon à Microsoft, il n’y a aucune preuve que des acteurs malveillants aient trouvé et exploité Chaos DB avant la découverte de Wiz. Une déclaration envoyée par courrier électronique par Microsoft à Bloomberg a déclaré: « Nous ne sommes pas au courant de l’accès à des données client en raison de cette vulnérabilité. » En plus d’avertir plus de 3 000 clients de la vulnérabilité et de fournir des instructions d’atténuation, Microsoft a payé à Wiz une prime de 40 000 $.
Source link
