Dziura w chmurze Azure. "Gorzej być nie może"

Wadliwy składnik to funkcja wizualizacji danych w bazie Cosmos DB, natywnej bazie danych w Azure. Ekspert z zespołu firmy Wiz, gdzie dokonano odkrycia, wprost mówi że nie da się mieć poważniejszej dziury w bezpieczeństwie danych: uwierzytelniony dostęp do swoich danych oznaczał uwierzytelniony dostęp do wszystkich.

Microsoft odpowiedział szybko po zgłoszeniu. Ostrzegł klientów i przedstawił wnioski z analizy powłamaniowej na portalu MSRC. Według sprawozdania, podatność nie została wykorzystana przez żadnych włamywaczy poza samym zespołem badawczym, który podzielił się odkryciem z Redmond. Zespół otrzymał nagrodę w wysokości 40 tysięcy dolarów w ramach programu Bug Bounty.

Zespół Wiz odkrył słabość w wizualizatorze danych Jupyter Notebook, którego obsługę Microsoft włączył dla wszystkich klientów. Firma wkrótce opublikuje szczegóły przeprowadzonego ataku, póki co informuje jedynie, że możliwe było podniesienie uprawnień na kontenerze z notebookiem tak, by móc dostać się do innych kontenerów oraz zdobyć klucze do bazy.

Zdobyte klucze (opisywane jako primary keys, choć jest to termin bazodanowy o nieco innym znaczeniu) posłużyły do dostępu do przestrzeni zarządzania notebookami oraz do bazy danych, która przechowuje ich zawartość. Wiz poinformował o tym odkryciu Redmond, a zespół techniczny Microsoftu zareagował błyskawicznie.

Część funkcji została wyłączona, Azure informuje o rekomendacji rotowania kluczy, a dziura jest już załatana. Zdarzenie to jednak pokazuje, jak rosnącym ryzykiem jest wynajmowanie oprogramowania i infrastruktury. Klient zdany jest w całości na bezpieczeństwo dostawcy chmury, choć należy mieć na uwadze to, że gdy to klient ma odpowiadać za swoją infrastrukturę, nierzadko radzi sobie z tym znacznie gorzej.