专门提供云计算安全服务的安全企业Wiz周四(8/26)披露,微软Azure的Cosmos DB非关系型数据库服务含有一系列的安全漏洞,将允许任何用户下载、删除或操控用户的商业数据库,或是访问Cosmos DB的底层架构。被Wiz统称为ChaosDB的漏洞已存在两年之久,波及Fortune 500排行榜上的许多大型企业,诸如可口可乐、Exxon-Mobil与Citrix等。
根据Wiz的说明,微软是在2019年时于Cosmos DB添加了一项Jupyter Notebook功能,可让客户可视化数据库并创建定制化的视觉查看画面,最初客户必须手动激活Jupyter Notebook,但该功能在今年2月成为Cosmos DB的默认值。
图片来源_Wiz
然而,Wiz团队却发现Jupyter Notebook含有一系列的错误配置,其容器含有一个权限扩张漏洞,得以进入其它客户的Jupyter Notebook,并取得该客户的主要密钥与Notebook访问令牌等机密信息。在掌握了上述机密信息之后,黑客就能长期访问受害Cosmos DB账号的所有资料,还具备完整的读、写与删除权限。
图片来源_Wiz
Wiz团队表示,在他们向微软通报之后,微软于48小时内就关闭了Jupyter Notebook功能,是他们所见过的反应最快的安全团队。此外,微软也在周四通知了超过30%的Cosmos DB客户,要求它们手动轮替访问密钥以降低风险。
微软只知会了在Wiz研究期间(约一周)受到波及的客户,然而,Wiz团队相信,过去曾激活Jupyter Notebook服务,或是今年2月之后才创建Cosmos DB账号的用户,都可能受到ChaosDB漏洞的波及,呼吁它们都应采取保护措施,轮替访问密钥。
根据路透社的报道,微软已坦承相关漏洞的存在,也将支付4万美元的漏洞挖掘奖金给Wiz。