الفئة

ذكاء نقاط الضعف

الصناعات المتأثرة

متعدد

المنطقة المتأثرة

عالمي

أعلى#

أخضر

مرجع

*https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability #https://en.wikipedia.org/wiki/Traffic_Light_Protocol

ملخص تنفيذي

• في 12 أغسطس 2021، أبلغ باحث أمني عن ثغرة أمنية في مثيل Azure Cosmos DB Jupyter Notebook، المشار إليه باسم ChaosDB، والذي يسمح للمستخدم بالوصول إلى بيانات مستخدم آخر.
• Azure Cosmos DB هي خدمة مملوكة لشركة Microsoft تُستخدم لتطوير التطبيقات الحديثة. يتيح Azure Cosmos DB الذي يحتوي على أجهزة كمبيوتر Jupyter المحمولة المدمجة يمكن للمستخدمين تحليل بياناتهم وتصورها من بوابة Azure.
• تم اكتشاف سلسلة استغلال في Jupyter Notebooks Cosmos DB يمكن أن تعرض مفاتيح القراءة والكتابة الأساسية للخطر، مما يسمح للمهاجمين باستغلال بيانات المستخدمين.
• يُنصح المنظمات بإعادة إنشاء المفاتيح كإجراء تخفيفي.

التحليل

يحتوي Azure Cosmos DB على دفتر Jupyter مدمج تأثر بالثغرة الأمنية، والتي يطلق عليها اسم ChaosDB. يمكن أن تسمح سلسلة من هذه الثغرة المكشوفة في Jupyter Notebook للمهاجم بالاستعلام عن المعلومات، مما يؤدي إلى استرداد بيانات الاعتماد من حسابات Cosmos DB وكمبيوتر Jupyter Notebook وحسابات تخزين Jupyter Notebook، بما في ذلك مفاتيح القراءة والكتابة الأساسية. يمنح هذا وصولاً غير مصرح به للمهاجمين لعرض البيانات وتعديلها وحذفها في حسابات Cosmos DB للضحايا. بغض النظر عن الوصول إلى الشبكة، يمكن اختراق المفتاح الأساسي لـ Cosmos DB. ومع ذلك، لا يمكن اختراق البيانات الموجودة في هذه الحسابات إلا إذا تمكن المهاجم من الوصول عن بُعد إلى مثيل قاعدة البيانات.

لمواجهة التأثير، أصدرت Microsoft دليلًا رسميًا لتجديد Cosmos DB الأساسي، والذي تمت مشاركة تفاصيله في قسم التأثير والتخفيف من الاستشارات.

النقاط الرئيسية

• بغض النظر عن الخدمات التي تعمل على البنية التحتية لـ Azure، فإن مثيلات Cosmos DB التي تدعم Jupyter معرضة للهجمات الضارة.
• لا يتم عادةً تعيين الثغرات الأمنية المتعلقة بالسحابة بمعرفات CVE، وبالتالي لا تحتوي ثغرة ChaosDB على معرف CVE محدد. توصي Microsoft المؤسسات بإعادة إنشاء مفتاح القراءة والكتابة الأساسي لحسابات Cosmos DB الخاصة بها باتباع دليل إنشاء المفاتيح المذكور في قسم التأثير والتخفيف من هذه الاستشارة.
• على الرغم من قيام Microsoft بتعطيل الميزة الضعيفة، فقد أوصت جميع مستخدمي Cosmos DB بافتراض أنهم تعرضوا لهذا الهجوم.

• 09 أغسطس 2021 - استغل فريق Wiz Research الخطأ لأول مرة وحصل على وصول غير مصرح به إلى حسابات Cosmos DB.
• 12 أغسطس 2021 - أرسل فريق أبحاث Wiz المشورة إلى Microsoft.
• 14 أغسطس 2021 - لاحظ فريق أبحاث Wiz أنه تم تعطيل الميزة الضعيفة.
• 16 أغسطس 2021 - أكدت MSRC السلوك المبلغ عنه (قضية MSRC 66805).
• 16 أغسطس 2021 - لاحظ فريق Wiz Research أن بعض أوراق الاعتماد التي تم الحصول عليها قد تم إلغاؤها.
• 17 أغسطس 2021 - منحت MSRC مكافأة قدرها 40,000 دولار أمريكي للتقرير.
• 23 أغسطس 2021 - تؤكد MSRC أن عدة آلاف من العملاء قد تأثروا.
• 26 أغسطس 2021 - الإفصاح العام.

• وفقًا للبيان الرسمي الذي نشرته Microsoft، لم يتم الوصول إلى بيانات العميل عبر الثغرة الأمنية. لكن، عثرت CloudSek Threat Intelligence على إعلان نشره أحد ممثلي التهديد في منتدى الجرائم الإلكترونية، حيث باع 21 مليون من بيانات مستخدم Microsoft. \

• فيما يلي مرجع خدمة سريع لفرق SOC لمراقبة حركة مرور شبكة Cosmos DB.

التأثير والتخفيف

• قد يتم استهداف حساب Cosmos DB لجمع المعلومات.
• قد يؤدي استرداد مفتاح الاعتماد إلى الاستيلاء غير المصرح به على الحساب.
• يؤدي التعديل غير المصرح به وتسريب البيانات إلى فقدان سلامة البيانات والسرية.

• طلبت Microsoft من المؤسسات إعادة إنشاء المفاتيح الأساسية لحسابات Cosmos DB ذات الصلة.
• رابط الدليل الرسمي كما هو موضح أدناه: https://docs.microsoft.com/en-us/azure/cosmos-db/secure-access-to-data؟ علامات التبويب = استخدام مفاتيح المفتاح الأساسي #primary

مرجع