Kritikus sebezhetőséget fedeztek fel a Cosmos DB-ben, a Microsoft figyelmeztetést adott ki

 

(A kép forrása: BleepingComputer)

Az Azure Cosmos DB egy globálisan használt NoSQL adatbázis szolgáltatás, amelyet számos cégóriás is alkalmaz. A Microsoft több ezer Azure ügyfél figyelmét hívta fel arra, hogy a Cosmos DB-ben talált, mostanra már javított kritikus sebezhetőség lehetővé tette, hogy bármely felhasználó távolról illetéktelenül átvegye más felhasználók adatbázisa felett az irányítást, teljes adminisztrátori hozzáféréssel. A Wiz nevű biztonsági cég kutatói fedezték fel a biztonsági rést, amelyet ChaosDB-nek neveztek el. A kutatók 2021. augusztus 12-én hozták nyilvánosságra a Microsoft számára a kiderített információkat. A hibát a rendszerben található Jupyter Notebook nevű funkció okozta, amely az adatok vizualizálását  hivatott elősegíteni. A Microsoft a bejelentés átvételét követő 48 órán belül letiltotta a sebezhető belépési pontot, és két héttel a hibás Jupyter Notebook funkció letiltása után értesítette az érintett ügyfelek több mint 30%-át. A Microsoft szerint egyelőre nem tudnak olyan incidensről, ahol az említett hibát ténylegesen kihasználták volna, azonban a kockázatok mérséklése, és a potenciális támadások megakadályozása érdekében a tech óriás azt tanácsolja az Azure ügyfeleknek, hogy generálják újra a Cosmos DB elsődleges kulcsait, amelyek a biztonsági rés felfedezése előtt kompromittálódhattak.​

(bleepingcomputer.com)