Microsoft、Azure Cosmos DBの重大な脆弱性を警告:ChaosDB

Microsoftは、Cosmos DBに見つかった現在修正済みの重要な脆弱性により、任意のユーザーが認証を必要とせずに管理者権限を得ることができ、他のユーザーのデータベースをリモートで乗っ取ることができる状態であると警告しました。

Azure Cosmos DBは、メルセデス・ベンツ、シマンテック、コカ・コーラ、エクソン・モービル、シトリックスなどの有名企業が採用しているグローバルに分散され、完全に管理されたNoSQLデータベースサービスです。

マイクロソフトは最近、Azure Cosmos DBに脆弱性があることを認識しました。この脆弱性により、ユーザーがアカウントの主な読み書きキーを使用して別の顧客のリソースにアクセスできる可能性があります

研究者以外の外部ユーザが、お客様のAzure Cosmos DBアカウントに関連するプライマリリードライトキーにアクセスした形跡はありません。また、この脆弱性が原因でデータにアクセスされたことも確認していません。

このセキュリティ脆弱性を発見したクラウドセキュリティ企業Wizの研究チームは、この脆弱性を「ChaosDB」と名付け、2021年8月12日にマイクロソフトに開示しました。

ChaosDB: Unauthorized Privileged Access to Microsoft Azure Cosmos DB
A critical vulnerability in Azure's flagship Cosmos DB service affecting thousands of customers. Mitigation requires customers' manual actions.

ChaosDBは、Azureのクラウドプラットフォームにおいて、Azureの主力データベースであるCosmos DBをリモートアカウントで乗っ取ることができるという、前代未聞の重大な脆弱性です。

このChaosDBにより、デフォルトで有効になっており顧客がデータを可視化するために設計されたJupyter Notebook機能のバグの連鎖を悪用することができます。

悪用に成功すると、主キーを含む他のユーザーのCosmos DB認証情報にアクセスできるようになり、Microsoft Azureの顧客のデータベースやアカウントへの完全かつ無制限のリモートアクセスが可能になります。

この脆弱性は、対象となる環境への事前のアクセスを必要としない些細な悪用方法であり、Fortune 500企業の多くを含む数千の組織に影響を与えると思われます。

マイクロソフトは、報告を受けてから48時間以内に脆弱性のあるエントリーポイント機能を無効にし、バグのあるJupyter Notebook機能を無効にしてから2週間後の8月26日に、Cosmos DBの顧客の30%以上にセキュリティ侵害の可能性について警告を出しました。

しかし、Wizの調査チームによると、ChaosDBの脆弱性は公開される数ヶ月前から存在し、悪用される可能性があったことから、実際に影響を受けたお客様の数はおそらくほとんどのCosmos DBのユーザを含むため、もっと多いと考えられています

リスクを軽減し、潜在的な攻撃を阻止するために、マイクロソフトはAzureをご利用のユーザに対し、脆弱性のある機能が無効化される前に盗まれた可能性のあるCosmos DBのプライマリキーを再生成するようアドバイスしています。

また、AzureのCosmos DBデータベースの安全性を高めるために、以下の推奨事項を実施するようアドバイスしています。

  • プライマリキーとセカンダリキーの定期的なローテーションと再生成をスケジュールする
  • 標準的なセキュリティのベストプラクティスとして、Azure Cosmos DBのファイアウォールと仮想ネットワーク統合を利用し、ネットワークレベルでアカウントへのアクセスを制御することを検討する。
  • Azure Cosmos DB Core (SQL) APIを使用している場合は、Azure Cosmos DBのロールベース・アクセス・コントロール (RBAC) を使用して、プライマリ/セカンダリキーの代わりにAzure Active Directoryでデータベース操作を認証することを検討する。RBACでは、アカウントのプライマリ/セカンダリキーを完全に無効にするオプションがある
  • Azure Cosmos DBで利用できるセキュリティコントロールの完全な概要については、セキュリティベースラインを参照する

また、この脆弱性を悪用しようとする過去の試みを検出するために、Cosmos DBアカウントの過去のアクティビティをすべて確認することが推奨されています

公開タイムライン

  • 2021年8月9日 – Wiz Research Teamが最初にバグを悪用し、Cosmos DBアカウントへの不正アクセスを試みた
  • 2021年8月12日 – ウィズ・リサーチ・チームがマイクロソフトに勧告を送信。
  • 2021年8月14日 – Wiz Research Teamは、脆弱性のある機能が無効化されていることを確認
  • 2021年8月16日 – MSRCが、報告された動作を確認しました (MSRC Case 66805)。
  • 2021年8月16日 – Wiz Research Teamは、取得した認証情報の一部が無効になっていることを確認
  • 2021年8月17日 – MSRCは、この報告に対して400万円=40,000ドルの懸賞金を授与
  • 2021年8月23日 – MSRCは、数千人のお客様に影響があることを確認
  • 2021年8月26日 – 公表

コメント

タイトルとURLをコピーしました