Компания Microsoft предупредила тысячи своих клиентов облачных вычислений Azure, включая многие компании из списка Fortune 500, об уязвимости, из-за которой их данные были полностью открыты в течение последних двух лет.
Дефект в коде базы данных Azure Cosmos DB компании Microsoft оставил более 3300 клиентов Azure открытыми для полного неограниченного доступа злоумышленников. Уязвимость появилась в 2019 году, когда Microsoft добавила в Cosmos DB функцию визуализации данных под названием Jupyter Notebook. Функция была включена по умолчанию для всех баз данных Cosmos DB в феврале 2021 года.
Список клиентов Azure Cosmos DB включает такие компании, как Coca Cola, Liberty Mutual Insurance, ExxonMobil, Walgreens и другие.
«Это самая страшная уязвимость в облаке, которую только можно себе представить», — говорит Ами Люттвак, главный технический директор Wiz, компании по безопасности, которая обнаружила проблему. «Это центральная база данных Azure, и мы смогли получить доступ к любой базе данных клиентов, которую хотели».
Несмотря на серьезность и риск, Microsoft не нашла никаких доказательств того, что уязвимость привела к незаконному доступу к данным. «Нет никаких доказательств того, что эта техника использовалась злоумышленниками», — говорится в заявлении Microsoft, направленном по электронной почте в агентство Bloomberg. «Мы не знаем о случаях доступа к данным клиентов из-за этой уязвимости».
По данным Reuters, Microsoft заплатила Wiz 40000 долларов за открытие.
В подробном сообщении в блоге Wiz говорится, что уязвимость, внесенная в Jupyter Notebook, позволила исследователям компании получить доступ к первичным ключам, обеспечивающим безопасность баз данных Cosmos DB для клиентов Microsoft. С помощью этих ключей Wiz получил полный доступ на чтение/запись/удаление к данным нескольких тысяч клиентов Microsoft Azure.
