安全公司Wiz发现并披露了该问题,该问题是在 Microsoft Azure Cosmos DB 中发现的。具体来说,3300多家客户的数据是开放的,可以不受限制地在线访问。威胁行为者可以访问这些信息并将其用于网络攻击。
Azure Cosmos DB在 Build 2017 上宣布。它是一个云数据库服务,是一个从头开始创建的全新平台。它允许客户为全球规模的云服务和海量数据应用程序提供支持。Microsoft 将 Cosmos DB 描述为同类服务中的首创,在第 99个百分位保证正常运行时间、一致性、吞吐量和延迟。
Wiz 的首席技术官 Ami Luttwak 表示,不应低估这种泄漏的危险。
“这是你能想象到的最严重的云漏洞。这是 Azure 的中央数据库,我们能够访问我们想要的任何客户数据库。”
问题来自微软在 2019 年添加到 Azure Cosmos DB 的 Jupyter Notebook 功能。虽然该工具允许用户创建其数据的自定义视图,但错误配置允许攻击者利用 Jupyter Notebook 访问客户数据。
持续威胁
自 2019 年以来,这已经成为可能,但现在问题变得更糟,因为微软在今年早些时候将 Jupyter Notebook 设为了一项自动功能。Wiz 能够利用该漏洞访问 Azure Cosmos DB 并访问用户读取、删除和写入权限。
Wiz 两周前通知了微软,该公司发布了一个补丁。但是,由于微软无法更改客户的访问密钥,该公司即将上市。用户必须知道手动更改密钥以避免漏洞。
微软已经通知了大约 30% 的 Cosmos DB 客户,但 Wiz 希望公开信息以帮助更多客户。微软在接受彭博社采访时表示,“没有证据表明这种技术被恶意行为者利用。”
该公司为发现该缺陷向 Wiz 支付了 40,000 美元。