Microsoft partage des conseils sur la sécurisation des comptes Azure Cosmos DB

0

Microsoft a publié des conseils sur la sécurisation des comptes Azure susceptibles d’être affectés par une vulnérabilité critique de Cosmos DB récemment corrigée, donnant aux attaquants des droits d’administrateur complets sur les données des utilisateurs sans autorisation.

La faille, baptisée ChaosDB, affecte Microsoft Azure Cosmos DB, un service de base de données NoSQL distribué dans le monde entier et utilisé par un large éventail de clients de premier plan, notamment Exxon-Mobil, Mercedes Benz, Symantec, Coca-Cola et Citrix.

Le bogue de sécurité a été trouvé par l’équipe de recherche de la société de sécurité cloud Wiz dans la fonctionnalité Jupyter Notebook (activée par défaut).

Le bogue de sécurité a été trouvé par l’équipe de recherche de la société de sécurité cloud Wiz dans la fonctionnalité Jupyter Notebook (activée par défaut). Une exploitation réussie a permis à n’importe quel utilisateur de voler les clés de lecture-écriture primaires des clients, leur permettant ainsi de prendre efficacement le contrôle de leurs bases de données à distance.

Plus de 30 % des clients de Cosmos DB informés d’une violation potentielle

Microsoft affirme « avoir atténué la vulnérabilité immédiatement » après avoir reçu le rapport de Wiz (la chronologie des chercheurs montre que le bogue a été corrigé dans les 48 heures suivant la divulgation.)

La société a également alerté plus de 30 % des clients de Cosmos DB d’une éventuelle faille de sécurité le 26 août, deux semaines après avoir désactivé la fonctionnalité vulnérable de Jupyter Notebook côté serveur.

Cependant, selon Wiz, le nombre réel de clients impactés est probablement beaucoup plus important car il inclurait la plupart des clients de Cosmos DB, étant donné que ChaosDB était présent et aurait pu être exploité pendant des mois avant la divulgation.

« Notre enquête indique qu’aucune donnée client n’a été consultée en raison de cette vulnérabilité par des tiers ou des chercheurs en sécurité », a déclaré Microsoft.

« Si vous n’avez pas reçu d’e-mail ou de notification sur le portail, il n’y a aucune preuve que d’autres parties externes ont eu accès à votre clé de compte en lecture-écriture principale. »

Comment bloquer l’utilisation des identifiants volés?

Pour atténuer les risques et bloquer les attaquants qui pourraient avoir volé vos clés primaires de lecture-écriture Cosmos DB avant la désactivation de la fonctionnalité vulnérable, Microsoft conseille de régénérer les clés Cosmos DB.

Comme bonne pratique pour sécuriser davantage le compte Azure Cosmos DB, Microsoft a également émis les recommandations suivantes:

  1. Tous les clients Azure Cosmos DB utilisent une combinaison de règles de pare-feu, vNet et/ou Azure Private Link sur leur compte. Ces mécanismes de protection du réseau empêchent l’accès depuis l’extérieur de votre réseau et des emplacements inattendus.
  2. En plus de mettre en œuvre des contrôles de sécurité réseau, nous encourageons l’utilisation du contrôle d’accès basé sur les rôles. Le contrôle d’accès basé sur les rôles permet un contrôle d’accès par utilisateur et principal de sécurité à Azure Cosmos DB – ces identités peuvent être auditées dans les logs de diagnostic d’Azure Cosmos DB.
  3. Si vous ne pouvez pas utiliser le contrôle d’accès basé sur les rôles, nous vous recommandons de mettre en œuvre des rotations de clés régulièrement planifiées.
  4. Vous pouvez trouver des bonnes pratiques de sécurité supplémentaires dans la documentation de base de sécurité Azure Cosmos DB.

Microsoft a également ajouté qu’il incluait des garanties et une surveillance supplémentaires pour détecter les futures tentatives d’accès aux comptes Cosmos DB de ses clients sans autorisation.

Il est également conseillé aux clients d’activer la journalisation des diagnostics et Azure Defender lorsqu’ils sont disponibles pour faciliter la détection d’activités suspectes provenant d’adresses IP inhabituelles.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a également recommandé aux clients d’Azure Cosmos DB de faire changer leurs clés et de consulter les conseils de Microsoft sur la façon de sécuriser l’accès aux données dans Azure Cosmos DB.

« Bien que la mauvaise configuration semble avoir été corrigée dans le cloud Azure, la CISA encourage fortement les clients d’Azure Cosmos DB à générer et régénérer leurs clés de certificat », a déclaré l’agence de cybersécurité.

Laisser un commentaire