Microsoft, birçok Fortune 500 şirketi de dahil olmak üzere binlerce Azure bulut bilişim müşterisini, verilerini son iki yılda tamamen açıkta bırakan bir güvenlik açığı konusunda uyardı.
Microsoft’un Azure Cosmos DB veritabanındaki bir kusur ürün, saldırganların sınırsız erişimini tamamlamak için 3.300’den fazla Azure müşterisini açık bıraktı. Güvenlik açığı, Microsoft’un Cosmos DB’ye Jupyter Notebook adlı bir veri görselleştirme özelliği eklemesiyle 2019 yılında tanıtıldı. Bu özellik, Şubat 2021’de tüm Cosmos DB’leri için varsayılan olarak açıldı.
Azure Cosmos DB istemcilerinin listesi, Coca Cola, Liberty Mutual Insurance, ExxonMobil ve Walgreens gibi şirketleri içerir ve bunlardan yalnızca birkaçı.
İstediğimiz herhangi bir müşteri veritabanına erişebildik
Sorunu keşfeden güvenlik şirketi Wiz’in Teknolojiden Sorumlu Başkanı Ami Luttwak, “Bu, hayal edebileceğiniz en kötü bulut güvenlik açığıdır,” dedi. “Bu, Azure’un merkezi veritabanıdır ve istediğimiz herhangi bir müşteri veritabanına erişebildik.”
Sunulan ciddiyete ve riske rağmen, Microsoft, güvenlik açığının yol açtığına dair herhangi bir kanıt görmedi. yasa dışı veri erişimi için. Microsoft, Bloomberg’e e-postayla gönderilen bir açıklamada, “Bu tekniğin kötü niyetli aktörler tarafından kullanıldığına dair bir kanıt yok” dedi. “Bu güvenlik açığı nedeniyle herhangi bir müşteri verisine erişildiğinin farkında değiliz.” Reuters’e göre Microsoft, keşif için Wiz’e 40.000 dolar ödedi.
Ayrıntılı bir blog gönderisinde Wiz, Jupyter Notebook tarafından sunulan güvenlik açığının şirketin araştırmacılarının Cosmos DB’yi güvence altına alan birincil anahtarlara erişmesine izin verdiğini söylüyor. Microsoft müşterileri için veritabanları. Söz konusu anahtarlarla Wiz, birkaç bin Microsoft Azure müşterisinin verilerine tam okuma/yazma/silme erişimine sahipti.
Wiz, sorunu iki hafta önce keşfettiğini ve Microsoft’un Wiz’in bildirdiği 48 saat içinde güvenlik açığını devre dışı bıraktığını söylüyor. Ancak Microsoft, müşterilerinin birincil erişim anahtarlarını değiştiremez, bu nedenle şirket, Cosmos DB müşterilerine e-postayla, açıkları azaltmak için anahtarlarını manuel olarak değiştirmeleri için e-posta gönderdi.
Bugünün sorunu, yalnızca en son güvenlik kabusu. Microsoft. Şirketin kaynak kodunun bir kısmı Aralık ayının sonunda SolarWinds bilgisayar korsanları tarafından çalındı, Exchange e-posta sunucuları ihlal edildi ve Mart ayında fidye yazılımı saldırılarına karıştı ve yakın zamanda ortaya çıkan bir yazıcı hatası, saldırganların sistem düzeyinde ayrıcalıklara sahip bilgisayarları ele geçirmesine izin verdi. Ancak dünyadaki verilerin giderek Azure gibi merkezi bulut hizmetlerine taşınmasıyla, bugün ortaya çıkan bilgiler Microsoft için şimdiye kadarki en rahatsız edici gelişme olabilir.
