Προειδοποίηση της Microsoft για ευπάθεια στην Cosmos DB του Azure

[nnn]

Η Microsoft προειδοποίησε την Πέμπτη χιλιάδες πελάτες cloud computing, συμπεριλαμβανομένων μερικών από τις μεγαλύτερες εταιρείες στον κόσμο, ότι εισβολείς θα μπορούσαν να έχουν τη δυνατότητα να διαβάζουν, να αλλάζουν ή και να διαγράφουν τις κύριες βάσεις δεδομένων τους.

Η ευπάθεια βρίσκεται στη ναυαρχίδα της βάσης δεδομένων Cosmos DB της Microsoft Azure. Μια ερευνητική ομάδα στην εταιρεία ασφαλείας Wiz ανακάλυψε ότι ήταν σε θέση να έχει πρόσβαση σε κλειδιά που ελέγχουν την πρόσβαση σε βάσεις δεδομένων που κατέχουν χιλιάδες εταιρείες. Ο επικεφαλής τεχνολογικός διευθυντής της Wiz Ami Luttwak είναι πρώην επικεφαλής τεχνολογίας στον Όμιλο Ασφάλειας Cloud της Microsoft.

Επειδή η Microsoft δεν μπορεί να αλλάξει αυτά τα κλειδιά από μόνη της, έστειλε email στους πελάτες την Πέμπτη λέγοντάς τους να δημιουργήσουν νέα. Η Microsoft συμφώνησε να πληρώσει στη Wiz 40.000 δολάρια για την εύρεση του ελαττώματος και την αναφορά του.

"Διορθώσαμε αυτό το ζήτημα αμέσως για να διατηρήσουμε τους πελάτες μας ασφαλείς και προστατευμένους. Ευχαριστούμε τους ερευνητές ασφαλείας που συνεργάστηκαν", δήλωσε η Microsoft στο Reuters.

Το email της Microsoft προς τους πελάτες ανέφερε ότι δεν υπήρχε καμία απόδειξη ότι το ελάττωμα είχε αξιοποιηθεί. "Δεν έχουμε καμία ένδειξη ότι εξωτερικές οντότητες εκτός του ερευνητή (Wiz) είχαν πρόσβαση στο κύριο κλειδί ανάγνωσης-εγγραφής", ανέφερε το μήνυμα ηλεκτρονικού ταχυδρομείου.

“This is the worst cloud vulnerability you can imagine. It is a long-lasting secret,” Luttwak told Reuters. “This is the central database of Azure, and we were able to get access to any customer database that we wanted.”

Luttwak's team found the problem, dubbed ChaosDB, on Aug. 9 and notified Microsoft Aug. 12, Luttwak said.

The flaw was in a visualization tool called Jupyter Notebook, which has been available for years but was enabled by default in Cosmos beginning in February. After Reuters reported on the flaw, Wiz detailed the issue in a blog post.

Πηγή : Reuters

[Simpleton]

Problems with Azure are especially troubling, because Microsoft and outside security experts have been pushing companies to abandon most of their own infrastructure and rely on the cloud for more security.

[globalnoise]

Ε ναι, ότι θέλουν λένε έτσι;;; Άκους εκεί rely on the cloud για security. Μια χαρά δεν ήμασταν με το in-house infrastructure?

[fadasma]

rely on the cloud for more security

Σκέψου να μην ήταν στο cloud και να έπρεπε κάθε μαγαζάκι να ενημερωθεί για την ευπάθεια και να πατσάρει τις βάσεις του.

[tsigarid]

Ότι να ‘ναι. Προτιμάς την ασφάλεια που σου δίνει ο κάθε τυχαίος admin, από αυτήν του cloud;

[minas]

Όλα τα συστήματα έχουν κενά ασφαλείας. Και σε AWS έχουμε δει πάμπολλες φορές ξεκλείδωτες public βάσεις με ευαίσθητα δεδομένα επειδή κάποιος ξέχασε να περιορίσει την πρόσβαση.
Την ασφάλεια δεν την παρέχει το μόνο "cloud" αλλά και η διαχείριση. Απλά με cloud εξασφαλίζεις ότι μεγάλο μέρος της διαχείρισης γίνεται σωστά και δεν χρειάζεται να εξαρτάσαι για όλα από τυχαίους admins .
Το παραπάνω κενό του Azure είναι κεφαλειώδους σημασίας και δεν θα έπρεπε να υπάρχει, αλλά τουλάχιστον εντοπίστηκε και ενημερώθηκαν οι χρήστες. Δυστυχώς εδώ χρειάζεται και παρέμβαση από τους επιμέρους διαχειριστές.

[megahead13]

Ότι να ‘ναι. Προτιμάς την ασφάλεια που σου δίνει ο κάθε τυχαίος admin, από αυτήν του cloud;

Δηλαδή όσοι υποστηρίζουν on-prem υποδομές είναι τυχαίοι admins, ενώ στο cloud πάνε όλα στον αυτόματο, σωστά;;;

[Simpleton]

Ε ναι, ότι θέλουν λένε έτσι;;; Άκους εκεί rely on the cloud για security. Μια χαρά δεν ήμασταν με το in-house infrastructure?

Σκέψου να μην ήταν στο cloud και να έπρεπε κάθε μαγαζάκι να ενημερωθεί για την ευπάθεια και να πατσάρει τις βάσεις του.

Ότι να ‘ναι. Προτιμάς την ασφάλεια που σου δίνει ο κάθε τυχαίος admin, από αυτήν του cloud;

Εύκολη η ειρωνεία, αλλά:

Δεν αμφισβητώ γενικά την παραπάνω ασφάλεια που μπορεί να προσφέρει μια managed υποδομή σε σύγκριση με μια όχι και τόσο καλά συντηρημένη τοπική υποδομή.

Πιστεύω όμως ότι, μέσα στην αγιοποίηση και το hype που συνοδεύουν το cloud, παραβλέπουμε ένα μεσοπρόθεσμο ρίσκο από τη συγκέντρωση τόσων πόρων στα συστήματα λίγων εταιρειών. Μεταξύ άλλων, όχι μόνο «ανοίγουν ορέξεις» σε κάθε λογής κρατικές και μη οντότητες, αλλά και ένα κενό ασφαλείας σαν το παραπάνω καθίσταται εκμεταλλεύσιμο σε πολύ μεγαλύτερη κλίμακα.

Ο «κάθε τυχαίος admin» είναι υπεύθυνος για το (μικρό ή μεγάλο) μαγαζάκι του. Η κάθε MS, για δεδομένα εκατοντάδων χιλιάδων και εκατομμυρίων επιχειρήσεων. Ποιος έχει το μεγαλύτερο πεδίο για να πάει κάτι πολύ στραβά;

[megahead13]

Εύκολη η ειρωνεία, αλλά:

Δεν αμφισβητώ γενικά την παραπάνω ασφάλεια που μπορεί να προσφέρει μια managed υποδομή σε σύγκριση με μια όχι και τόσο καλά συντηρημένη τοπική υποδομή.

Πιστεύω όμως ότι, μέσα στην αγιοποίηση και το hype που συνοδεύουν το cloud, παραβλέπουμε ένα μεσοπρόθεσμο ρίσκο από τη συγκέντρωση τόσων πόρων στα συστήματα λίγων εταιρειών. Μεταξύ άλλων, όχι μόνο «ανοίγουν ορέξεις» σε κάθε λογής κρατικές και μη οντότητες, αλλά και ένα κενό ασφαλείας σαν το παραπάνω καθίσταται εκμεταλλεύσιμο σε πολύ μεγαλύτερη κλίμακα.

Ο «κάθε τυχαίος admin» είναι υπεύθυνος για το (μικρό ή μεγάλο) μαγαζάκι του. Η κάθε MS, για δεδομένα εκατοντάδων χιλιάδων και εκατομμυρίων επιχειρήσεων. Ποιος έχει το μεγαλύτερο πεδίο για να πάει κάτι πολύ στραβά;

[aiolos.01]

Δηλαδή τι θέλεις να μας πεις; Οτι το cloud δεν έπρεπε να έχει κανένα πρόβλημα ασφάλειας ποτε; Μόνο μια φρουτένια εταιρία λέει τέτοιες μπαρούφες.
Το cloud είναι το ίδιο ασφαλές ή πιο ασφαλές απο το 99% των on-site εγκαταστάσεων. Ειδικά σε σύγκριση με μικρές εγκαταστάσεις που το administration το έχει κάποιος που κάνει 10 άλλες δουλειές η διαφορά είναι τεράστια.

[Simpleton]

Δες το μήνυμα μου παραπάνω.

[megahead13]

Δηλαδή τι θέλεις να μας πεις; Οτι το cloud δεν έπρεπε να έχει κανένα πρόβλημα ασφάλειας ποτε; Μόνο μια φρουτένια εταιρία λέει τέτοιες μπαρούφες.
Το cloud είναι το ίδιο ασφαλές ή πιο ασφαλές απο το 99% των on-site εγκαταστάσεων. Ειδικά σε σύγκριση με μικρές εγκαταστάσεις που το administration το έχει κάποιος που κάνει 10 άλλες δουλειές η διαφορά είναι τεράστια.

Γιατί ποιος σου λέει ότι το ίδιο δε γίνεται και στο cloud; Δηλαδή όλα είναι στον αυτόματο στο cloud και δεν υπάρχουν IT engineers που κάνουν administration για τις cloud υποδομές των διαφόρων οργανισμών/εταιρειών που έχουν επιλέξει cloud ή hybrid μοντέλο για τη λειτουργία τους; Νομίζετε ότι το security γίνεται μόνο από τη μεριά της Μικρομαλακής, της Amazon, κτλ, κτλ;; Συν ότι είπε ο Simpleton

[fadasma]

Η t-mobile που δεν είναι στο cloud έχασε δεδομένα εκατομμυρίων πελατών και είναι πλέον ρουτίνα τέτοιες ειδήσεις. Τα μικρότερα μαγαζάκια δεν παίρνουν χαμπάρι ότι έχουν data breach. Είδηση σαν αυτή ότι χάθηκαν δεδομένα από το azure τη διαβάζω πρώτη φορά.

[Zus]

Μια χαρά παίρνουν χαμπάρι. Όταν κυκλοφορούν στα onion

[giotis1982]

Ακόμα μια απόδειξη ότι το Hyperscale Cloud απαιτεί σοβαρότητα.

Ο πρώτος πυλώνας είναι το "Accessible from anywhere". Δε θέλει μυαλό για να καταλάβεις και να κλειδώσεις την DB σε συγκεκριμένα IP. Και σίγουρα δεν είναι cloud only πρακτική.

Οι πιο πολλοί την γλυτώνουν γιατί απλά η ημιμάθεια τους περιορίζεται on premises.

Αυτού του είδους τα alerts είναι σε 500 σημεία, αλλά ποιος ασχολείται τώρα με firewall μωρέ και με το να σώζει τα κλειδιά σε Key Vaults. Αυτά θέλουν χρόνο και διάβασμα, πάτα εδώ να τελειώνουμε.

Προβλέπω ένα χρονικό σημείο στο μέλλον όπου ο "admin" θα σταματήσει να είναι ο go-to άνθρωπος, όταν καταλάβουν οι εταιρείες πόσο κακό τους κάνει. Θα πρέπει να περιοριστεί πλέον στο app administration. Να γίνει άλλος ένας app owner και να αντικατασταθεί από cloud experts. Είναι λίγο bold αλλά εκεί πάει.