Microsoft avertit les clients Azure de la vulnérabilité critique de Cosmos DB

0

Microsoft a averti des milliers de clients d’Azure qu’une vulnérabilité critique désormais corrigée trouvée dans Cosmos DB permettait à tout utilisateur de prendre le contrôle à distance des bases de données d’autres utilisateurs en leur donnant un accès administrateur complet sans nécessiter d’autorisation.

Azure Cosmos DB est un service de base de données NoSQL distribué dans le monde entier et entièrement géré, utilisé par des clients de premier plan, notamment Mercedes Benz, Symantec, Coca-Cola, Exxon-Mobil et Citrix.

« Microsoft a récemment pris connaissance d’une vulnérabilité dans Azure Cosmos DB qui pourrait potentiellement permettre à un utilisateur d’accéder aux ressources d’un autre client en utilisant la clé de lecture-écriture principale du compte », a déclaré la société aux clients.

« Nous n’avons aucune indication que des entités externes en dehors du chercheur ont eu accès à la clé de lecture-écriture principale associée à votre ou vos comptes Azure Cosmos DB. De plus, nous n’avons connaissance d’aucun accès aux données en raison de cette vulnérabilité. »

L’équipe de recherche de la société de sécurité cloud Wiz, qui a découvert la faille de sécurité, l’a baptisée ChaosDB et l’a divulguée à Microsoft le 12 août 2021.

Le bogue a permis aux attaquants d’exploiter une chaîne de bogues dans la fonctionnalité Jupyter Notebook, activée par défaut et conçue pour aider les clients à visualiser les données.

Une exploitation réussie leur a permis d’accéder aux informations d’identification de Cosmos DB d’autres utilisateurs, y compris leur clé primaire, ce qui leur a fourni un accès à distance complet et illimité aux bases de données et aux comptes des clients Microsoft Azure.

« La vulnérabilité a un exploit trivial qui ne nécessite aucun accès préalable à l’environnement cible, et affecte des milliers d’organisations, y compris de nombreuses grandes entreprises », ont déclaré les chercheurs.

Microsoft azure
Flux d’exploitation ChaoDB (Wiz)

Microsoft a désactivé la fonctionnalité de point d’entrée vulnérable dans les 48 heures suivant la réception du rapport et a alerté plus de 30 % des clients de Cosmos DB d’une violation potentielle de la sécurité le 26 août, deux semaines après la désactivation de la fonctionnalité Jupyter Notebook vulnérable.

Cependant, selon l’équipe de recherche de Wiz, le nombre réel de clients impactés est probablement beaucoup plus important car il inclut probablement la plupart des clients Cosmos DB, étant donné que la vulnérabilité ChaosDB était présente et aurait pu être exploitée pendant des mois avant leur divulgation.

Pour atténuer le risque et bloquer les attaques potentielles, Microsoft conseille aux clients Azure de régénérer les clés primaires Cosmos DB qui auraient pu être volées avant la désactivation de la fonctionnalité vulnérable.

La société a également conseillé aux clients de prendre les mesures recommandées suivantes pour sécuriser davantage leurs bases de données Azure Cosmos DB:

  1. Planifiez une rotation et une régénération régulières de vos clés primaires et secondaires.
  2. En tant que bonne pratique de sécurité standard, envisagez d’utiliser le pare-feu Azure Cosmos DB et l’intégration de réseau virtuel pour contrôler l’accès à vos comptes au niveau du réseau.
  3. Si vous utilisez l’API Azure Cosmos DB Core (SQL), envisagez d’utiliser le contrôle d’accès basé sur les rôles (RBAC) Azure Cosmos DB pour authentifier vos opérations de base de données avec Azure Active Directory au lieu des clés primaires/secondaires. Avec RBAC, vous avez la possibilité de désactiver complètement les clés primaires/secondaires de votre compte.
  4. Pour une présentation complète des contrôles de sécurité disponibles sur Azure Cosmos DB, consultez notre référence de sécurité.

L’examen de toutes les activités passées sur leurs comptes Cosmos DB est également recommandé pour détecter les tentatives précédentes d’exploiter cette vulnérabilité.

Bien qu’à la demande de Microsoft, les chercheurs n’aient pas encore publié d’informations techniques concernant la faille ChaosDB qui pourrait aider les pirates informatiques à créer leurs propres exploits, ils publieront bientôt un article technique complet.

L’équipe de recherche de Wiz a également récemment divulgué une nouvelle classe de vulnérabilités DNS affectant les principaux fournisseurs DNS-as-a-Service (DNSaaS) qui pourraient permettre aux attaquants d’accéder à des informations sensibles à partir de réseaux d’entreprise dans ce qui a été décrit comme campagnes « d’espionnage de niveau d’État-nation ».

Calendrier de divulgation :

  • 09 août 2021 – L’équipe de recherche de Wiz a d’abord exploité le bogue et obtenu un accès non autorisé aux comptes Cosmos DB.
  • 12 août 2021 – L’équipe de recherche de Wiz a envoyé l’avis à Microsoft.
  • 14 août 2021 – L’équipe de recherche de Wiz a observé que la fonctionnalité vulnérable a été désactivée.
  • 16 août 2021 – MSRC a confirmé le comportement signalé (MSRC Case 66805).
  • 16 août 2021 – L’équipe de recherche de Wiz a observé que certaines informations d’identification obtenues avaient été révoquées.
  • 17 août 2021 – MSRC a décerné une prime de 40 000 $ pour le rapport.
  • 23 août 2021 – MSRC confirme que plusieurs milliers de clients sont impactés.
  • 26 août 2021 – Divulgation publique.
Laisser un commentaire