Poważna dziura w chmurze Azure

417
fot. Pixabay

W usługach chmurowych Microsoft Azure została odkryta poważna dziura. Dane ponad 3 tys. klientów były pozbawione ochrony. Dziura była obecna od 2019 r., ale wszystkich klientów objęła w lutym 2021 r.

Wadliwym elementem jest wizualizacji danych w bazie Cosmos DB. Odkrywcy tego błędu – eksperci zespołu formy Wiz twierdzą, że to najpoważniejsza dziura w bezpieczeństwie danych. Przez nią uwierzytelnianie dostępu do własnych danych był jednoznaczny z uwierzytelnieniem dostępu dla wszystkich.

Błąd powiązany był z wizualizatorem danych Jupyter Notebook. Możliwe było podniesienie uprawnień na kontenerze z notebookiem w taki sposób, by dostawać się do innych kontenerów lub zdobywać klucze do bazy. Tak zdobyte klucze mogły posłużyć do dostępu do przestrzeni zarządzania notebookami oraz do bazy danych. Wiz o tym odkryciu poinformował Redmond.

Microsoft po zgłoszeniu błędu ostrzegł klientów, a także dokonał analizy powłamaniowej na portalu MSRC i przedstawił z niej wnioski. Według firmy dziura nie została wykorzystana przez żadnych włamywaczy. A zespół badawczy, który wykrył błąd, otrzymał nagrodę 40 tysięcy dolarów w ramach programu Bug Bounty.

Część wadliwych funkcji została wyłączona. Azure informuje też klientów o rekomendacji  rotowania kluczy.

Jednak zdarzenie pokazuje ryzyko związane z wynajmowanie, oprogramowania i infrastruktury.

Źródło: dobreprogramy.pl