Azure CosmosDB’de Açık Bulundu

Wiz ekibinin bulduğu açık neticesinde yayımladığı blog, aslına uygun olarak Türkçeye çevrilme çalışması yapılmıştır.

Bugünlerde online olarak gerçekleştirdiğimiz herşey Cloud’daki uygulamalar ve veri tabanları üzerinde koşturuyor. Storage Bucket’lar çok fazla dikkat çekerken veri tabanı sızıntıları bir çok şirket için büyük bir risk. Çünkü her biri milyonlarca hatta milyarlarca hassas veriler tutabilmektedir. Her güvenlik uzmanının kabusu erişim keylerinin ele geçirilmesi ve Gigabayt’larca verinin sızdırılmasıdır.

-Fortune 500 müşterileri de dahil olmak üzere- Microsoft Azure müşterilerinin tamamının hesaplarına ve birkaç bin veri tabanına izinsiz erişimin olduğunu ve erişebildiğimizi hayal edin. Wiz’in güvenlik araştırma ekibi sürekli olarak Cloud’da yeni saldırı seviyeleri arıyoruz ve iki hafta önce Azure’un amiral gemisi veri tabanı hizmeti Cosmos DB’yi etkileyen benzeri görülmemiş bir ihlal keşfettik.

Dünyanın en büyük işletmeleri neredeyse gerçek zamanlı olarak büyük miktarda verilerini yönetmek için Azure CosmosDB’yi kullanmaktadır. Geliştiriciler veri depolanmasının en kolay & esnek halini kullanmaya çalışarak, e-ticaret sitelerinde müşteri sipariş akışını yönetmek gibi kritik iş işlevlerine bu sayede güç sağlamaktadır.

Şirketler Cloud’a geçtikçe, veri tabanı riskleri son yıllarda endişe verici bir şekilde yaygınlaştı. Herhangi bir sıkıntı oluştuğunda bu müşterinin yanlış konfigurasyonundan kaynaklanıyorsa sorumluluk müşterinin kendisindeydi. Ama bu durum müşteriden kaynaklanan bir durum değil.

Cosmos DB özelliğindeki bir dizi açık, herhangi bir kullanıcının büyük bir veritabanları koleksiyonunu indirmesine, silmesine veya değiştirmesine ve ayrıca Cosmos DB’lerde okuma/yazma erişimine izin veren bir boşluk oluşturdu.

Bu güvenlik açığına #ChaosDB adını verdik. Bu açığı kullanırken hiçbir kimlik bilgisi gerektirmiyordu.

Bölüm 1: Cosmos DB müşterilerinin Primary Key’lerini çalmak

İlk olarak, müşterilerin Cosmos DB birincil anahtarlarına erişim sağladık. Birincil anahtarlar, saldırganlar için kutsal kâsedir – uzun ömürlüdürler ve müşteri verilerine tam OKUMA/YAZMA/SİLME erişimine izin verirler.

2019’da Microsoft, Cosmos DB’ye, müşterilerin verilerini görselleştirmelerine ve özelleştirilmiş görünümler oluşturmalarına olanak tanıyan Jupyter Notebook adlı bir özellik ekledi. Bu özellik, Şubat 2021’de tüm Cosmos DB’leri için otomatik olarak açıldı.

Notebook özelliğindeki bir dizi yanlış yapılandırma, yararlanabileceğimiz yeni bir saldırı kapısı açtı. Kısacası, Notebook Container’ı, diğer müşteri Notebook’larında da ayrıcalıklı olmasına izin verdi.

Sonuç olarak, bir saldırgan müşterilerin Cosmos DB Primary Key’lerine ve Notebook Blob Storage alanına erişim Token’ı gibi diğer hassas sırlara erişim elde edebilir.

Bölüm 2: Cosmos DB’de Müşteri Verilerine Erişme

Ardından, Cosmos DB sırlarını topladıktan sonra, bir saldırganın etkilenen Cosmos DB hesaplarında depolanan tüm verilere tam yönetici erişimi için bu anahtarlardan yararlanabileceğini gösterdik.

Müşteri varlıklarına ve verilerine uzun vadeli erişim elde etmek için anahtarları sızdırdık. Daha sonra müşteri Cosmos DB’yi tam okuma/yazma/silme izinleriyle doğrudan internetten kontrol edebiliriz.

Şimdi bu işlemi 30’dan fazla bölgede binlerce farklı müşteri için tekrarladığınızı hayal edin…

Etki ve Kapsam Hakkında

Microsoft’un Güvenlik Ekibi, sorunu çözmek için hemen harekete geçtiği için büyük övgüyü hak ediyor. Güvenlik ekiplerinin bu kadar hızlı hareket ettiğini nadiren görüyoruz! Güvenlik açığı bulunan dizüstü bilgisayar özelliğini, biz bildirdikten sonra 48 saat içinde devre dışı bıraktılar. Güvenlik yeniden tasarımı bekleyen tüm müşteriler için hala kapalı.

Ancak, Primary key anahtarları potansiyel olarak açığa çıktığı için müşteriler yine de etkilenebilir. Bunlar uzun ömürlü sırlardır ve bir ihlal durumunda, bir saldırgan veritabanlarını sızdırmak için anahtarı kullanabilir. Bugün Microsoft, Cosmos DB müşterilerinin %30’undan fazlasını, bu riski azaltmak için erişim anahtarlarını manuel olarak yenilemeleri gerektiğini bildirdi.

Microsoft, (yaklaşık bir hafta süren) araştırma sürecimizden etkilenen müşterilere e-posta gönderdi. Ancak, çok daha fazla Cosmos DB müşterisinin risk altında olabileceğine inanıyoruz. Güvenlik açığı, en az birkaç ay, muhtemelen yıllarca kullanılabilir durumda kalacak.

Önlem olarak, her Cosmos DB müşterisini bilgilerini korumak için adımlar atmaya çağırıyoruz.

Not defteri özelliğini kullanan veya Ocak 2021’den sonra oluşturulan her Cosmos DB hesabı potansiyel olarak risk altındadır. Bu Şubat ayından itibaren, yeni oluşturulan her Cosmos DB hesabında varsayılan olarak dizüstü bilgisayar özelliği etkinleştirildi ve Müşteri bunun farkında olmasa ve özelliği hiç kullanmasa bile Birincil Anahtarı açığa çıkabilirdi.

Müşteri, özelliği ilk üç gün içinde kullanmadıysa, otomatik olarak devre dışı bırakıldı. Bu pencere sırasında güvenlik açığından yararlanan bir saldırgan Birincil Anahtarı alabilir ve Cosmos DB hesabına sürekli erişime sahip olabilir.

Açığınızı kapatmak için bu makaleden faydalanabilirsiniz. Ayrıca Microsoft’un yayımladığı bu yazıya göz atabilirsiniz.