微軟Azure資料庫服務Cosmos DB含有安全漏洞，將外洩客戶的主要金鑰與存取令牌

專門提供雲端安全服務的資安業者Wiz周四（8/26）揭露，微軟Azure的Cosmos DB非關聯式資料庫服務含有一系列的安全漏洞，將允許任何使用者下載、刪除或操控用戶的商業資料庫，或是存取Cosmos DB的底層架構。被Wiz統稱為ChaosDB的漏洞已存在兩年之久，波及Fortune 500排行榜上的許多大型企業，諸如可口可樂、Exxon-Mobil與Citrix等。

根據Wiz的說明，微軟是在2019年時於Cosmos DB新增了一項Jupyter Notebook功能，可讓客戶視覺化資料庫並建立客製化的視覺檢視畫面，最初客戶必須手動啟用Jupyter Notebook，但該功能在今年2月成為Cosmos DB的預設值。

圖片來源_Wiz

然而，Wiz團隊卻發現Jupyter Notebook含有一系列的錯誤配置，其容器含有一個權限擴張漏洞，得以進入其它客戶的Jupyter Notebook，並取得該客戶的主要金鑰與Notebook存取令牌等機密資訊。在掌握了上述機密資訊之後，駭客就能長期存取受害Cosmos DB帳號的所有資料，還具備完整的讀、寫與刪除權限。

圖片來源_Wiz

Wiz團隊表示，在他們向微軟通報之後，微軟於48小時內就關閉了Jupyter Notebook功能，是他們所見過的反應最快的安全團隊。此外，微軟也在周四通知了逾30%的Cosmos DB客戶，要求它們手動輪替存取金鑰以降低風險。

微軟只知會了在Wiz研究期間（約一周）受到波及的客戶，然而，Wiz團隊相信，過去曾啟用Jupyter Notebook服務，或是今年2月之後才建立Cosmos DB帳號的用戶，都可能受到ChaosDB漏洞的波及，呼籲它們都應採取保護措施，輪替存取金鑰。

根據路透社的報導，微軟已坦承相關漏洞的存在，也將支付4萬美元的抓漏獎金予Wiz。