Microsoft advierte a los clientes de Azure sobre una vulnerabilidad crítica de Cosmos DB

Microsoft advirtió a miles de clientes de Azure que una vulnerabilidad crítica ahora corregida que se encuentra en Cosmos DB permitió a cualquier usuario tomar el control de forma remota de las bases de datos de otros usuarios. La vulnerabilidad le otorgó acceso de administrador completo sin necesidad de autorización a un potencial atacante.

Azure Cosmos DB es un servicio de base de datos NoSQL totalmente administrado y distribuido globalmente utilizado por clientes de alto perfil. Entre estos clientes destacan Mercedes Benz, Symantec, Coca-Cola, Exxon-Mobil y Citrix.

“Microsoft se enteró recientemente de una vulnerabilidad en Azure Cosmos DB. Esta podría permitir que un usuario obtenga acceso a los recursos de otro cliente mediante el uso de la clave principal de lectura y escritura de la cuenta”.

No tenemos ninguna indicación de que entidades externas fuera del investigador tuvieran acceso a la clave principal de lectura y escritura asociada con su (s) cuenta (s) de Azure Cosmos DB. Además, no tenemos conocimiento de ningún acceso a datos debido a esta vulnerabilidad”.

Comunicado de la empresa.

El equipo de investigación de la empresa de seguridad en la nube Wiz, que descubrió la vulnerabilidad, la denominó ChaosDB. La empresa reportó la vulnerabilidad a Microsoft el 12 de agosto de 2021.

La vulnerabilidad permitió a los atacantes explotar una cadena de errores en la función Jupyter Notebook. Esta función está habilitada de forma predeterminada y diseñada para ayudar a los clientes a visualizar datos.

Explotación

La explotación exitosa permite acceder a las credenciales de Cosmos DB de otros usuarios, incluida su clave principal. Esto proporcionaría acceso remoto completo y sin restricciones a las bases de datos y cuentas de los clientes de Microsoft Azure.

La vulnerabilidad tiene un exploit trivial que no requiere ningún acceso previo al entorno de destino. Y, afecta a miles de organizaciones, incluidas numerosas empresas Fortune 500.

Microsoft deshabilitó la función de punto de entrada vulnerable dentro de las 48 horas posteriores a la recepción del informe. Asimismo, alertó a más del 30% de los clientes de Cosmos DB sobre una posible infracción de seguridad el 26 de agosto. Es decir, dos semanas después de deshabilitar la función defectuosa de Jupyter Notebook.

Sin embargo, según el equipo de investigación de Wiz, es probable que la cantidad real de clientes afectados sea mucho mayor.  Probablemente incluya a la mayoría de los clientes de Cosmos DB, dado que la vulnerabilidad ChaosDB estaba presente y podría haber sido explotada durante meses antes de su divulgación.

Para mitigar el riesgo y bloquear posibles ataques, Microsoft aconseja a los clientes de Azure que regeneren las claves primarias de Cosmos DB. Estas claves podrían haber sido robadas antes de que se deshabilitara la característica vulnerable.

Contramedidas

La compañía también recomendó a los clientes que realicen las siguientes acciones para proteger aún más sus bases de datos de Azure Cosmos DB: 

1. Programar una rotación y regeneración periódica de sus claves primarias y secundarias.
2. Como práctica recomendada de seguridad estándar, deben usar el firewall de Azure Cosmos DB. También deben usar la integración de red virtual para controlar el acceso a sus cuentas a nivel de red.
3. Si usan la API de Azure Cosmos DB Core (SQL), deben usar el control de acceso basado en roles (RBAC) de Azure Cosmos DB. Esto para autenticar las operaciones de su base de datos con Azure Active Directory en lugar de claves primarias/secundarias. Con RBAC, tienen la opción de deshabilitar completamente las claves primarias/secundarias de su cuenta.

También recomienda revisar toda la actividad pasada en sus cuentas de Cosmos DB para detectar intentos anteriores de aprovechar esta vulnerabilidad.

Si bien, a pedido de Microsoft, los investigadores aún no han publicado información técnica sobre la vulnerabilidad ChaosDB que podría ayudar a los actores de amenazas a crear sus propios exploits, pronto publicarán un documento técnico completo. 

El equipo de investigación de Wiz también ha revelado recientemente una nueva clase de vulnerabilidades de DNS. Estas vulnerabilidades afectan a los principales proveedores de DNS como servicio (DNSaaS) que podrían permitir a los atacantes acceder a información confidencial de redes corporativas. La situación ha sido calificada como campañas de “espionaje a nivel de estado-nación“.