Μια ευπάθεια στην υπηρεσία Azure της Microsoft άφησε αρκετές χιλιάδες πελάτες ευάλωτους σε κυβερνοεπιθέσεις. Ο τεχνολογικός γίγαντας έχει προειδοποιήσει τους πελάτες του για το ελάττωμα στην ναυαρχίδα της υπηρεσίας βάσεων δεδομένων Cosmos DB, αφού ανακαλύφθηκε και αναφέρθηκε από την εταιρεία ασφαλείας Wiz. Στην ανάρτηση ιστολογίου που έχει δημοσιεύσει η Wiz, είπε ότι ήταν σε θέση να χρησιμοποιήσει την ευπάθεια, την οποία ονόμασε “ChaosDB”, για να αποκτήσει “πλήρη απεριόριστη πρόσβαση στους λογαριασμούς και τις βάσεις δεδομένων” χιλιάδων πελατών Azure.
Οι πελάτες της Azure, συμπεριλαμβανομένων εταιρειών Fortune 500 όπως η Coca-Cola και η Exxon-Mobil, χρησιμοποιούν το Cosmos DB για να διαχειρίζονται τους τεράστιους όγκους δεδομένων που λαμβάνουν σε πραγματικό χρόνο. Η εταιρεία εξήγησε ότι βρήκε μια σειρά ελαττωμάτων στη λειτουργία Cosmos DB που ονομάζεται Jupyter Notebook που δίνει στους πελάτες έναν τρόπο να απεικονίσουν τα δεδομένα τους. Αυτή η λειτουργία υπήρχε από το 2019, αλλά ήταν ενεργοποιημένη για όλους τους πελάτες της Cosmos DB τον περασμένο Φεβρουάριο. Ο Wiz είπε ότι μια σειρά λανθασμένων διαμορφώσεων στο σημειωματάριο δημιούργησε ένα κενό, το οποίο επιτρέπει σε κάθε χρήστη “να κατεβάσει, να διαγράψει ή να χειριστεί μια τεράστια συλλογή εμπορικών βάσεων δεδομένων, καθώς και να διαβάσει/γράψει πρόσβαση στην υποκείμενη αρχιτεκτονική του Cosmos DB”.
Ενώ η εταιρεία ασφαλείας επαίνεσε τη Microsoft για την απενεργοποίηση του εντός 48 ωρών αφότου ειδοποιήθηκε για το ζήτημα και για την ειδοποίηση περίπου στο 30 τοις εκατό των πελατών της, προειδοποίησε ότι περισσότεροι πελάτες ενδέχεται να κινδυνεύουν. Η Microsoft ειδοποίησε μόνο τους πελάτες που επηρεάστηκαν κατά τη διάρκεια μιας εβδομάδας . Ωστόσο, η εταιρεία ασφαλείας πιστεύει ότι η ευπάθεια ήταν εκμεταλλεύσιμη για μήνες, ίσως και χρόνια. Συμβουλεύει τώρα τους πελάτες της Azure να περιστρέφουν και να δημιουργήσουν ξανά τα κλειδιά πρόσβασής τους, ακόμη και αν δεν έλαβαν email από τη Microsoft. Τούτου λεχθέντος, ο τεχνολογικός γίγαντας είπε ότι δεν βρήκε στοιχεία ότι το ελάττωμα έχει αξιοποιηθεί. Είπε στους πελάτες ότι έστειλε μήνυμα ηλεκτρονικού ταχυδρομείου ότι δεν υπάρχει “ένδειξη ότι εξωτερικές οντότητες εκτός του ερευνητή (Wiz) είχαν πρόσβαση στο κύριο κλειδί ανάγνωσης-εγγραφής