Microsoft Azure Cosmos NoSQL への侵害により何千もの組織に影響が

Critical Cosmos Database Flaw Affected Thousands of Microsoft Azure Customers

2021/08/27 TheHackerNews — 木曜日に、クラウド・インフラストラクチャのセキュリティ企業である Wiz は、現在修正されている Azure Cosmos データベースの脆弱性の詳細を明らかにした。この脆弱性を悪用すると、Azure ユーザーであれば誰でも、他の顧客のデータベース・インスタンスに対する完全な管理者権限を、無許可で与えられる可能性がある。この、Chaos DB と呼ばれる脆弱性は、読取/書込/削除の権限を誤って付与するものだ。

Wiz の研究者は、「この脆弱性には、対象環境への事前アクセスを必要としない悪用方法があり、Fortune 500 企業を含む何千もの組織に影響を与えている」と指摘している。Cosmos DB とは、Microsoft が独自に開発した NoSQL データベースであり、自動的な管理/更新/パッチ適用によりデータベース管理の手間を省く、フル・マネージド・サービスとして宣伝されている。8月12日に Wiz Research Team は、この問題を Microsoft に報告した。その後に Microsoft は、責任ある開示から 48時間以内に、この問題を軽減するための措置を講じ、8月17日には $ 40,000 の報奨金を発見者に授与した。

Microsoft は声明の中で、「研究者以外の外部組織が、顧客の Azure Cosmos DB アカウントに関連する、主要な読み書きキーにアクセスした形跡はない。また、この脆弱性が原因でデータに不正アクセスされたという事実もない。vNET またはファイアウォールが有効な Azure Cosmos DB アカウントは、不正アクセスのリスクを防ぐ追加のセキュリティ・メカニズムで保護されてる」と述べている。Wiz が確認した脆弱性は、Cosmos DB の Jupyter Notebook 機能に存在する、一連の脆弱性に関連するものであり、データベース・アカウントの管理リソースへのアクセスを提供する Primary Key を含む、対象となる Cosmos DB アカウントに対応する認証情報の取得を、攻撃者に対して許してしまうものだ。

研究者たちは、「これらの認証情報を悪用し、複数のチャネルを介することで、対象となる Cosmos DB アカウントのデータを表示/変更/削除することが可能だ」と述べている。その結果として、Jupyter Notebook の機能が有効になっている Cosmos DB 上の資産において、影響を受ける可能性が生じる。Microsoft は、Cosmos DB を利用している顧客の 30% 以上に対して、セキュリティ侵害の可能性を通知したが、この脆弱性が数ヶ月前から悪用可能であったことを考えると、実際の数はもっと多いだろうと、Wiz は予測している。Wiz の研究者たちは、「すべての Cosmos DB の顧客は、データの漏えいが生じていると考えるべきだ。Cosmos DB アカウントにおける、過去の全アクティビティを確認することを推奨する」と付け加えている。また、Microsoft は、Cosmos DB のプライマリキーを再生成して、この欠陥から生じるリスクを軽減するよう、顧客に呼びかけている。

このところ、Microsoft のクラウド・サービスはご難続きですね。8月だけで、「Windows 365 から Microsoft Azure クレデンシャル情報を平文でダンプ」や、「Microsoft Power Apps の問題により 3,800万件以上の記録が流出した」といったトラブルがありました。でも、「Microsoft Azure Sentinel の Fusion 機械学習モデルでランサムウェアを検出」や、「Microsoft / Google / Amazon / Apple が セキュリティの未来を議論 @ White House」という、とても前向きな取り組みもあるので、期待は大ですね。

%d bloggers like this: