魔方获悉,近日安全研究人员在 Microsoft Azure 中发现了一个严重的安全漏洞,可以让攻击者不受限制地访问存储在其 Cosmos DB 服务上的所有数据库。
能想象到的、最糟糕的云漏洞?
网络安全公司 Wiz 的研究人员发现,获取数据库的主键不仅是可能的,而且是微不足道的。这个被称为 ChoasDB 的漏洞可能自 2019 年推出 Jupyter Notebook 以来就已经存在,它使攻击者能够访问、编辑和删除数据或整个数据库。微软无法自行更改主键,并已通过电子邮件向客户建议他们这样做;但微软公司因未能联系到足够数量的用户而受到批评
令人担忧的是,即使客户从未使用过 Jupyter Notebook 功能,数据库的主键也可能已暴露。这是因为在今年 2 月,每个新创建的 Cosmos DB 账户都默认启用了 Jupyter Notebook 功能。 Wiz 警告称:如果客户在前三天未使用该功能,则该功能将被自动禁用。在该窗口期间利用该漏洞的攻击者可以获得主键并可以持续访问 Cosmos DB 账户。
Azure Cosmos DB是什么?
Azure Cosmos DB 是一种用于新式应用开发的、完全托管的 NoSQL 数据库。2019 年,微软向 Cosmos DB 中添加了一项名为 Jupyter Notebook 的功能,可以将客户数据可视化并自动创建自定义视图(见下图)。2021 年 2 月,所有 Cosmos DB 都自动启用了 Jupyter Notebook 功能。
客户数据可视化并自动创建自定义视图
据官方介绍,Jupyter Notebook 是基于网页的用于交互计算的应用程序,可被应用于全过程计算:开发、文档编写、运行代码和展示结果。
Wiz 团队表示,Jupyter 功能中的错误配置会导致特权提升漏洞,该漏洞可能会被攻击者用来访问其他 Cosmos DB 主键和其他高度敏感的机密,例如笔记本 blob 存储访问令牌等。在收集 Cosmos DB 机密后,攻击者可以利用密钥对受影响 Cosmos DB 账户中存储的所有数据进行完全管理员访问。截至目前,Wiz 团队暂时还未公布具体技术细节,但给出了以下示意图:
与临时令牌不同,Cosmos DB 的主键不会过期——如果其已经被泄露且没有被更改,攻击者仍然可以在几年后使用该主键来窃取、操纵或破坏数据库。
被告知存在漏洞后,微软安全团队禁用了易受攻击的 Notebook 功能,并通知超过 30% 的 Cosmos DB 客户需要手动轮换访问密钥以减少风险,这些是在 Wiz 探索漏洞一周左右内启用了 Jupyter Notebook 功能的客户。此外,微软还向 Wiz 支付了一定的赏金。目前,微软安全团队已经修复了该漏洞。
然而, 随着云被越来越多的企业应用,一些典型的云安全问题也开始显现。
- 网络钓鱼:随着员工拿到更多企业 SaaS 账户的密钥,他们的登录便会面临更大的网络钓鱼风险。在早期,许多此类钓鱼攻击主要以 COVID-19 为诱饵。谷歌 在 2020 年 4 月声称每天要阻止 1800 万封与大流行有关的恶意网络钓鱼电子邮件。由于凭证填充攻击,超过 50 万个 Zoom 账户被发现在暗网上出售。
- 错误配置:这可能有两种形式。第一种是在视频会议等应用程序中没有打开正确的安全和隐私设置,可能会把你的聊天内容泄露给窃听者。第二种错误配置可能更危险,它使我们回到多云和混合云复杂性的问题上。
- 漏洞:人类容易犯错,他们的代码也是如此。在大流行期间,一些 SaaS 应用程序中发现了重大的零日漏洞,这可能使攻击者能够远程控制用户的设备。托管在云中的内部 Web 应用程序也面临风险。
来源:腾讯 2020 年公有云安全报告
IDC 调查报告显示,在过去 18 个月中,近 80%的公司至少经历了一次云数据泄露,而 43%的公司报告了 10 次或更多泄露。而据 Cybersecurity Insider 调查显示,94% 的网络安全专业人士对公有云安全有一定的担忧,69% 的企业将其团队安全性评为中等或低于平均水平。
目前,云安全产品基本可以分为三类:云访问安全代理(CASB)、云安全配置管理(CSPM)和云工作负载保护平台(CWPP)。CASB 主要解决深度可视化、数据安全、威胁防护、合规性这四类问题,主要覆盖面积体现在 SaaS 上。CSPM 产品通常使用自动化方式来解决云配置和合规性问题。CWPP 作为一项以主机为中心的解决方案,主要满足数据中心的工作负载保护需求,因此主要适用于 IaaS 层。
此外,魔方为上云的企业提出了五点安全建议:
- 谨慎选择云厂商。企业在选择云厂商时,至少应该考虑供应商是否可以保证数据和网络全天 24 小时的可用性,并充分评估供应商对不同信息合规性标准的遵守情况。
- 分类数据。保护云数据应该是企业的主要目标。高度敏感的数据需要最强大的保护,因此根据数据的重要性对数据进行分类,并将资源分配给重要数据信息是较为谨慎的一种方式。
- 培训员工。如果企业计划上云,那么就当前的云安全趋势对员工进行培训至关重要,这样可以提高团队对可疑行为、恶意行为的判别能力。
- 加密数据。数据加密对于跨云基础架构企业的安全问题至关重要。在整个云基础架构中,企业可以阻止攻击者检测漏洞。
- 结合其他安全产品使用。企业在使用云解决方案时,同时采用其他安全产品可以增强其安全性。入侵防御系统就是一个很好的例子。该系统可以监控云和网络的入侵迹象,并可以防止未经授权的访问,魔方对于云服务器的管理基于KVM虚拟技术进行开发致力于实现极高的虚拟化性能。
今天的问题只是微软最新的安全噩梦。该公司的部分源代码在 12 月底被 SolarWinds 黑客窃取,其Exchange 电子邮件服务器在 3 月份遭到破坏并涉及勒索软件攻击,最近的一个打印机缺陷使攻击者能够以系统级权限接管计算机。但随着全球数据越来越多地转移到 Azure 等集中式云服务,今天的启示可能是微软迄今为止最令人不安的发展。
0 留言