[[420730]]

大數(shù)據(jù)文摘作品

作者：Mickey

你能想到的“最可怕的漏洞”是什么樣子的?

最近，安全家公司 Wiz 報告了 Microsoft Azure 基礎(chǔ)設(shè)施中的一個“超級漏洞”，這一漏洞下，黑客能夠訪問、修改和刪除數(shù)千名 Azure 客戶的數(shù)據(jù)， 微軟目前已經(jīng)向客戶告知了這一漏洞的存在。

“你能想到的最可怕的漏洞”

8月9日，專業(yè)安全公司W(wǎng)iz 的首席技術(shù)官 Ami Luttwak發(fā)布了一篇博客《ChaosDB：我們是如何入侵包含數(shù)千個 Azure 客戶的數(shù)據(jù)庫的》，表示他們發(fā)現(xiàn)了微軟Azure Cosmos DB Jupyter Notebook 功能中的漏洞，并在三天后向微軟報告。Ami Luttwak也是微軟云安全集團(tuán)的前首席技術(shù)官。

Wiz在這份博客中稱，”我們能夠完全不受限制地訪問數(shù)千個 Microsoft Azure 客戶(包括許多全球500 強(qiáng)公司)的帳戶和數(shù)據(jù)庫。” Wit將此漏洞命名為#ChaosDB，并且公布了其入侵這一數(shù)據(jù)庫的全過程：

第 1 步：獲取 Cosmos DB 客戶的主鍵

首先，我們獲得了對客戶 Cosmos DB 主鍵的訪問權(quán)限。

2019 年，微軟向 Cosmos DB 添加了一項名為 Jupyter Notebook 的功能，讓客戶可以可視化他們的數(shù)據(jù)并創(chuàng)建自定義視圖。該功能已于 2021 年 2 月自動為所有 Cosmos DB 啟用。

Notebook功能中的一系列錯誤配置讓我們能夠找到新的攻擊向量。簡而言之，Notebook允許將權(quán)限擴(kuò)充至其他客戶筆記本。

因此，攻擊者可以訪問客戶的 Cosmos DB 主鍵和其他高度敏感的機(jī)密，例如Notebook blob 存儲訪問令牌。

第 2 步：訪問 Cosmos DB 中的客戶數(shù)據(jù)

接下來，在收集 Cosmos DB 機(jī)密后，攻擊者可以利用這些密鑰對存儲在受影響的 Cosmos DB 帳戶中的所有數(shù)據(jù)進(jìn)行管理員訪問。

我們泄露了密鑰以獲得對客戶資產(chǎn)和數(shù)據(jù)的長期訪問。然后，我們可以直接從 Internet 控制客戶 Cosmos DB，并擁有完整的讀/寫/刪除權(quán)限。 

微軟警告全球客戶，獎勵Wiz 4萬美元

Wiz很快向微軟發(fā)布了該漏洞，微軟也因此發(fā)布了一份聲明， 稱它立即解決了這個問題。微軟感謝安全研究人員作為協(xié)調(diào)披露漏洞的一部分所做的工作。微軟還通過電子郵件告訴 Wiz，它計劃支付 40,000 美元用于報告該漏洞。

8 月 26 日，微軟通過電子郵件通知了數(shù)千名受此問題影響的云客戶。該郵件中，微軟警告其客戶，攻擊者有能力讀取、修改甚至刪除所有主要數(shù)據(jù)庫。Wiz正是通過獲得對主要讀寫密鑰的訪問權(quán)限，才能獲得對客戶數(shù)據(jù)庫的完全訪問權(quán)限。由于微軟自己無法更改這些密鑰，因此該公司要求其客戶采取行動并交換 CosmosDB 的這個主密鑰作為預(yù)防措施。雖然安全漏洞已經(jīng)被關(guān)閉，但客戶應(yīng)該采取這一步來最終防止可能的數(shù)據(jù)庫泄露。微軟在消息中進(jìn)一步寫道，他們沒有發(fā)現(xiàn)第三方(Wiz 除外)訪問過這些密鑰的證據(jù)。

通知郵件還遠(yuǎn)遠(yuǎn)不夠

Luttwak 告訴路透社，微軟這一警告郵件還不夠：該公司僅在 Wiz 發(fā)現(xiàn)并調(diào)查問題的同一個月寫信給那些易受攻擊的密鑰可見的客戶。但是，攻擊者本來可以查看更多客戶的密鑰，因為該漏洞已在 2019 年首次發(fā)布 Jupyter 功能時引入。每個使用該功能的 Cosmos DB 帳戶都存在潛在風(fēng)險。從今年 2 月開始，每個新創(chuàng)建的 Cosmos DB 帳戶都默認(rèn)啟用筆記本功能至少三天，即使客戶不知道并且從未使用過該功能，他們的主鍵也可能已經(jīng)暴露。

由于主鍵是一個持久的秘密，不會自動更新，即使受影響的公司關(guān)閉了 Cosmos DB 中的 Jupyter 功能，潛在的攻擊者仍然可以濫用獲得的密鑰。

盡管受到 Wiz 的批評，微軟并未通知所有將 Jupyter Notebook 功能打開到 Cosmos DB 的客戶。當(dāng)被問及此事時，微軟只告訴路透社 ，它已通知可能受影響的客戶，但沒有進(jìn)一步解釋該聲明。

美國國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局也就此發(fā)布了公告，并使用了更強(qiáng)硬的語言，明確表示它不僅針對那些收到通知的客戶，而且針對使用 Azure Cosmos DB 的每個用戶：“CISA 強(qiáng)烈鼓勵 Azure Cosmos DB 客戶滾動和重新生成他們的證書密鑰”。

加密!加密!加密!

Luttwak 說：“這是你能想象到的最嚴(yán)重的云漏洞。這是 Azure 的中央數(shù)據(jù)庫，我們能夠訪問我們想要的任何客戶數(shù)據(jù)庫。”

這個 Microsoft 漏洞對于任何使用 Cosmos DB 的公司來說都是一場噩夢。成千上萬的公司，其中包括全球500 強(qiáng)企業(yè)在內(nèi)的許多全球公司，只要使用 Miscrosoft 的 Azure Cosmos DB 來近乎實時地管理來自世界各地的大量數(shù)據(jù)，那么他們的數(shù)據(jù)現(xiàn)在可能面臨被黑客入侵、被盜甚至刪除的風(fēng)險。

在博客中，Wiz表示，“近年來，隨著越來越多的公司遷移到云，數(shù)據(jù)庫暴露變得異常普遍，罪魁禍?zhǔn)淄ǔＪ强蛻舡h(huán)境中的錯誤配置。”

為了降低此類威脅發(fā)生的可能性，想要將數(shù)據(jù)移至云端的公司只有一種選擇：加密。這里的加密并不是指服務(wù)器端加密，而是真正的端到端加密，這可以讓所有人，甚至服務(wù)提供商——都無法掌握密鑰。

對 Miscrosoft 的 Azure 數(shù)據(jù)庫的黑客攻擊再次表明，加密是我們抵御惡意攻擊者和保護(hù)數(shù)據(jù)安全的最佳工具。當(dāng)數(shù)據(jù)存儲在云中時，正確保護(hù)這些數(shù)據(jù)的唯一方法是端到端加密 - 沒有任何類型的后門。

【本文是51CTO專欄機(jī)構(gòu)大數(shù)據(jù)文摘的原創(chuàng)譯文，微信公眾號“大數(shù)據(jù)文摘（ id: BigDataDigest）”】

戳這里，看該作者更多好文