Wiz, société de sécurité d’infrastructure Cloud, a révélé le 26 août dernier, les détails d’une vulnérabilité de la base de données Azure Cosmos. La faille est désormais corrigée, mais aurait potentiellement pu être exploitée pour accorder à tout utilisateur Azure un accès administrateur complet aux instances de base de données d’autres clients sans aucune autorisation.
Une vulnérabilité avec un exploit trivial
Selon les chercheurs de Wiz, la vulnérabilité a un exploit trivial qui ne nécessite aucun accès préalable à l’environnement cible, et impacte des milliers d’organisations, y compris de nombreuses entreprises du Fortune 500. La faille, surnommée ChaosDB, accorde des privilèges de lecture, d’écriture et de suppression.
Cosmos DB est la base de données NoSQL propriétaire de Microsoft. Celui-ci est présenté comme un service entièrement géré qui simplifie l’administration de la base de données. Le service inclut la gestion, des mises à jour et des correctifs automatiques. L’équipe de recherche Wiz a signalé le problème à Microsoft le 12 août. Après quoi, le fabricant de Windows a pris des mesures pour atténuer le problème dans les 48 heures. L’entreprise a aussi attribué une prime de 40 000 dollars aux chercheurs le 17 août.
Aucun accès aux données
Selon Microsoft, rien n’indique que des entités externes ont eu accès à la clé de lecture-écriture principale associée aux comptes Azure Cosmos DB des clients en dehors du chercheur. Par ailleurs, la société n’a connaissance d’aucun accès aux données en raison de cette vulnérabilité. Les comptes Azure Cosmos DB avec un vNET ou un pare-feu activé sont protégés par des mécanismes de sécurité supplémentaires qui empêchent le risque d’accès non autorisé.
L’exploit identifié par Wiz concerne une chaîne de vulnérabilités dans la fonctionnalité Jupyter Notebook de Cosmos DB. Ceci permet à un adversaire d’obtenir les identifiants correspondant au compte Cosmos DB cible, dont la clé primaire, qui donne accès aux ressources administratives du compte de la base de données. En utilisant ces informations d’identification, il est possible d’afficher, de modifier et de supprimer les données du compte Cosmos DB cible via plusieurs canaux. Par conséquent, tout actif Cosmos DB sur lequel la fonctionnalité Jupyter Notebook est activée est potentiellement impacté, disent les chercheurs.
Une vulnérabilité exploitable depuis des mois
Bien que Microsoft ait informé plus de 30% des clients de Cosmos DB de la violation potentielle de la sécurité, Wiz s’attend à ce que le nombre réel soit beaucoup plus élevé. La vulnérabilité est en effet exploitable depuis des mois.
Les chercheurs de Wiz ont noté que chaque client de Cosmos DB doit supposer qu’il a été exposé. Par ailleurs, ils recommandent d’examiner toutes les activités du compte Cosmos DB. Pour sa part, Microsoft exhorte ses clients à régénérer leurs clés primaires Cosmos DB pour atténuer tout risque résultant de la faille.
- Partager l'article :