圖片來源: 

Photo by Mohammad Rezaie on unsplash

專門提供雲端安全服務的資安業者Wiz周四(8/26)揭露,微軟Azure的Cosmos DB非關聯式資料庫服務含有一系列的安全漏洞,將允許任何使用者下載、刪除或操控用戶的商業資料庫,或是存取Cosmos DB的底層架構。被Wiz統稱為ChaosDB的漏洞已存在兩年之久,波及Fortune 500排行榜上的許多大型企業,諸如可口可樂、Exxon-Mobil與Citrix等。

根據Wiz的說明,微軟是在2019年時於Cosmos DB新增了一項Jupyter Notebook功能,可讓客戶視覺化資料庫並建立客製化的視覺檢視畫面,最初客戶必須手動啟用Jupyter Notebook,但該功能在今年2月成為Cosmos DB的預設值。

圖片來源_Wiz

然而,Wiz團隊卻發現Jupyter Notebook含有一系列的錯誤配置,其容器含有一個權限擴張漏洞,得以進入其它客戶的Jupyter Notebook,並取得該客戶的主要金鑰與Notebook存取令牌等機密資訊。在掌握了上述機密資訊之後,駭客就能長期存取受害Cosmos DB帳號的所有資料,還具備完整的讀、寫與刪除權限。

圖片來源_Wiz

Wiz團隊表示,在他們向微軟通報之後,微軟於48小時內就關閉了Jupyter Notebook功能,是他們所見過的反應最快的安全團隊。此外,微軟也在周四通知了逾30%的Cosmos DB客戶,要求它們手動輪替存取金鑰以降低風險。

微軟只知會了在Wiz研究期間(約一周)受到波及的客戶,然而,Wiz團隊相信,過去曾啟用Jupyter Notebook服務,或是今年2月之後才建立Cosmos DB帳號的用戶,都可能受到ChaosDB漏洞的波及,呼籲它們都應採取保護措施,輪替存取金鑰。

根據路透社的報導,微軟已坦承相關漏洞的存在,也將支付4萬美元的抓漏獎金予Wiz。


熱門新聞

Advertisement