Das Cloud-Infrastruktur-Sicherheitsunternehmen Wiz enthüllte am Donnerstag Details zu einer inzwischen gepatchten Azure-Cosmos-Datenbankschwachstelle, die ausgenutzt werden kann, um einem beliebigen Azure-Benutzer vollen Administrator-Zugriff auf andere Kunden-Datenbankinstanzen ohne jegliche Autorisierung zu gewähren.
Die Schwachstelle, die Lese-, Schreib- und Löschrechte gewährt, ist unter dem Namen "ChaosDB" bekannt, und die Wiz-Forscher stellen fest, dass "die Schwachstelle triviale Exploits hat, die keinen vorherigen Zugriff auf die Zielumgebung erfordern und Tausende von Organisationen betreffen, darunter zahlreiche Fortune-500-Unternehmen. "
Stack Overflow-Team
Cosmos DB ist die proprietäre NoSQL-Datenbank von Microsoft, die als "vollständig verwalteter Dienst" beworben wird, der "Ihnen die Datenbankverwaltung durch die Automatisierung von Verwaltung, Updates und Patches abnimmt".
Das Wiz-Forschungsteam meldete die Schwachstelle am 12. August an Microsoft, woraufhin der Windows-Hersteller innerhalb von 48 Stunden nach der verantwortlichen Veröffentlichung Schritte zur Entschärfung des Problems unternahm und am 17. August ein Kopfgeld von 40.000 US-Dollar für den Entdecker aussetzte.
"Wir haben keine Anzeichen dafür, dass externe Entitäten, die keine Forscher sind, Zugriff auf die primären Lese- und Schreibschlüssel haben, die mit Ihrem Azure Cosmos DB-Konto verbunden sind", so Microsoft in einer Erklärung. "Außerdem ist uns kein Datenzugriff aufgrund dieser Schwachstelle bekannt. Azure Cosmos DB-Konten mit aktiviertem vNET oder Firewall sind durch zusätzliche Sicherheitsmechanismen geschützt, die das Risiko eines unbefugten Zugriffs verhindern."
Die von Wiz entdeckte Schwachstelle umfasst eine Reihe von Schwachstellen in der Jupyter-Notebook-Funktionalität von Cosmos DB, die es einem Angreifer ermöglichen würden, Anmeldedaten für das Zielkonto von Cosmos DB zu erhalten, einschließlich des Primärschlüssels, der den Zugriff auf die Verwaltungsressourcen des Datenbankkontos ermöglicht.
Passwortverwaltung für Unternehmen
"Mit diesen Anmeldeinformationen können die Daten im Zielkonto von Cosmos DB über mehrere Kanäle eingesehen, geändert und gelöscht werden", so die Forscher. Infolgedessen könnte jedes Cosmos DB-Asset mit aktivierter Jupyter Notebook-Funktion betroffen sein.
Obwohl Microsoft mehr als 30% Cosmos DB-Kunden über die potenzielle Sicherheitslücke benachrichtigt hat, geht Wiz davon aus, dass die tatsächliche Zahl höher ist, da die Sicherheitslücke seit Monaten ausgenutzt wird.
"Jeder Cosmos DB-Kunde sollte davon ausgehen, dass er gefährdet ist", so die Wiz-Forscher und fügten hinzu: "Wir empfehlen außerdem, dass Sie alle vergangenen Aktivitäten in Ihrem Cosmos DB-Konto überprüfen." Darüber hinaus fordert Microsoft seine Kunden auf, ihre Cosmos DB-Primärschlüssel neu zu generieren, um die durch die Schwachstelle verursachten Risiken zu minimieren.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/serious-vulnerability-found-in-cosmos-database.html