تكبير / Cosmos DP هو موفر خدمة قاعدة بيانات مُدارة ، بما في ذلك هياكل بيانات الشركات التابعة و noSQL التي تنتمي إلى البنية التحتية لـ Azure Cloud من Microsoft.

بائع الأمن السحابي Wis أعلن اكتشف Microsoft Azur بالأمس ثغرة أمنية في Cosmos DP ، وهي خدمة قاعدة بيانات مُدارة توفر وصولاً للقراءة / الكتابة إلى كل قاعدة بيانات في الخدمة لأي مهاجم اكتشف الخطأ واستغله.

قبل أسبوعين ، زعمت الشركة أن النظام كان كامنًا في النظام “لعدة أشهر على الأقل ، سنوات عديدة” – على الرغم من أن WIS هو الوحيد الذي اكتشف الثغرة ، التي يطلق عليها اسم “Case DP”.

مقلاع حول كوكب المشتري

في عام 2019 ، أضافت Microsoft المصدر المفتوح دفتر جوبيتر وظيفة لـ Cosmos DB. تعد أجهزة جوبيتر المحمولة وسيلة سهلة الاستخدام بشكل خاص لتنفيذ خوارزميات التعلم الآلي. روجت Microsoft لأجهزة الكمبيوتر المحمولة بشكل خاص كأداة مفيدة لتحسين تصور البيانات المخزنة على Cosmos DP.

تم تمكين وظيفة دفتر Jupiter تلقائيًا لجميع أحداث Cosmos DP في فبراير 2021 ، لكن Wis يأمل أن يتراجع الخطأ المعني أكثر – ربما حتى الإطلاق الأول لـ Cosmos DP في عام 2019.

لم يقدم Wis جميع التفاصيل الفنية حتى الآن ، لكن التكوين غير الصحيح في الإصدار القصير من ميزة Jupiter يفتح استغلالًا متميزًا للتوسع. وفقًا لـ Wis ، يمكن إساءة استخدام هذا الاستغلال للوصول إلى المفاتيح الأساسية لعملاء Cosmos DB الآخرين. لا المفتاح الأساسي لعميل Cosmos DB الآخر ، جنبًا إلى جنب مع الأسرار الأخرى.

الوصول إلى المفتاح الأساسي لحدث Cosmos DP “انتهت اللعبة”. هذا يسمح لك بقراءة وكتابة وحذف قاعدة البيانات الكاملة التي يمتلكها هذا المفتاح. يصف إيمي لودواك ، كبير مسؤولي التكنولوجيا في Wisin ، الأمر بأنه “أسوأ ثغرة أمنية في السحابة يمكنك تخيلها” ، وقالت: “هذه هي قاعدة بيانات Azure المركزية وتمكنا من الوصول إلى أي قاعدة بيانات للعملاء أردناها.”

أسرار قديمة

على عكس الأسرار والرموز المؤقتة ، لا تنتهي صلاحية المفتاح الأساسي لـ Cosmos DP – إذا تم تسريبه بالفعل ولم يتم تغييره ، يمكن للمهاجم استخدام هذا المفتاح للخروج من قاعدة البيانات أو معالجتها أو تدميرها.

وفقًا لـ Wiz ، لم ترسل Microsoft سوى 30 بالمائة أو أكثر من عملاء Cosmos DP عبر البريد الإلكتروني حول الثغرات الأمنية. حذر البريد الإلكتروني المستخدمين من تدوير مفتاحهم الأساسي يدويًا حتى لا تعود المفاتيح المسربة مفيدة للمهاجمين. كان عملاء Cosmos DP هؤلاء يديرون وظيفة دفتر Jupiter لأسابيع أو استكشفوا الثغرة الأمنية في هذا.

اعتبارًا من فبراير 2021 ، عندما يتم إنشاء جميع أحداث Cosmos DP الجديدة باستخدام وظائف دفتر Jupiter ، ستقوم خدمة Cosmos DP تلقائيًا بتعطيل وظائف الكمبيوتر الدفتري إذا لم يتم استخدامها خلال الأيام الثلاثة الأولى. هذا هو السبب في أن عدد عملاء Cosmos DP المبلغ عنه كان منخفضًا للغاية – 70 بالمائة أو أكثر لا. أعلنت Microsoft أنه سيتم تعطيل كوكب المشتري يدويًا أو تعطيله تلقائيًا بسبب نقص التطبيق.

لسوء الحظ ، هذا لا يغطي حقًا النطاق الكامل للضحية. نظرًا لأن أي حدث من أحداث Cosmos DP التي يديرها كوكب المشتري معرض للخطر ، فليس من الممكن معرفة على وجه اليقين من لديه مفاتيح أي أحداث ، نظرًا لأن المفتاح الأساسي ليس سرًا مؤقتًا. قد يكون المهاجم الذي لديه هدف محدد قد استولى بهدوء على المفتاح الأساسي لذلك الهدف ولكنه لم يفعل شيئًا فاحشًا (حتى الآن).

لا يمكننا استبعاد سيناريو هجوم واسع النطاق حيث يقوم مهاجم افتراضي جديد بإلغاء المفتاح الأساسي من كل حدث جديد من أحداث Cosmos DB خلال فترة الثغرة الأمنية الأولية التي تبلغ ثلاثة أيام ثم يحفظ هذه المفاتيح للاستخدام المحتمل. نحن هنا نتفق مع Wis – إذا كان Cosmos DP الخاص بك مثالاً كما هو الحال دائما إذا تم تمكين وظيفة دفتر المشتري Jupiter ، فيجب عليك ذلك قم بتدوير مفاتيحها لضمان سلامة المضي قدما على الفور.

إجابة مايكروسوفت

قامت Microsoft بتعطيل ثغرة Case DP قبل أسبوعين – في غضون 48 ساعة من الإعلان الشخصي لـ Wis. لسوء الحظ ، لا تستطيع Microsoft تغيير المفاتيح الأساسية لعملائها ؛ كوزموس موانئ دبي هي المسؤولة عن عملائها قم بتدوير مفاتيحهم.

وفق مايكروسوفت ، لا يوجد دليل على أن أي جهات خبيثة اكتشفت واستغلت Chaos DP قبل اختراع Wis. وقالت رسالة البريد الإلكتروني من Microsoft إلى Bloomberg ، “لسنا على علم بأي وصول إلى بيانات العملاء بسبب هذه الثغرة الأمنية.” بالإضافة إلى توفير تحذير من الثغرات الأمنية وإرشادات التخفيف إلى أكثر من 3000 عميل ، كافأت Microsoft Wiz بمبلغ 40000 دولار.

READ  هذا هو الدليل على وجود "Cosby Suite" لمطور Blizzard المحذوف

LEAVE A REPLY

Please enter your comment!
Please enter your name here