Cosmos DB 用戶建議在嚴重漏洞后重新生成他們的密鑰

在研究人員發現一個漏洞后，成千上萬在 Microsoft Azure 上使用 Cosmos DB 服務的組織需要重新生成他們的主要讀寫密鑰，該漏洞可以讓外部攻擊者訪問復制、刪除或修改存儲在數據庫中的數據。微軟在服務器端修復了該漏洞，并表示他們沒有看到數據被未經授權方訪問的證據，但發現該漏洞的研究人員和美國網絡安全和基礎設施安全局 (CISA) 建議所有 Cosmos DB 用戶啟用了 Jupyter Notebook 功能后，可以旋轉它們的鍵。

Jupyter Notebook 權限提升

該漏洞位于Jupyter Notebook 中，這是一種用于數據探索、數據清理、數據轉換、數值模擬、統計建模、數據可視化和機器學習的 Microsoft Azure 工具。該工具與 Cosmos DB 集成，后者是一種 NoSQL 類型的數據庫服務，用于為數千個組織（包括許多財富 500 強公司）存儲 Azure 托管應用程序的數據。

云安全公司 Wiz 的研究人員在一份報告中說：“筆記本功能中的一系列錯誤配置開辟了一個我們能夠利用的新攻擊媒介。” “簡而言之，筆記本容器允許將權限提升到其他客戶筆記本。因此，攻擊者可以訪問客戶的 Cosmos DB 主鍵和其他高度敏感的機密，例如筆記本 blob 存儲訪問令牌。”

主鍵提供對 Cosmos 數據庫實例的管理員級別訪問權限，并具有完整的讀/寫/刪除權限。數據庫服務還要求用戶擁有輔助密鑰，以簡化密鑰輪換過程。輔助鍵不受影響。

由于在研究人員于 8 月 12 日發現并報告該漏洞之前沒有發現該漏洞已被利用的證據，因此微軟僅通知了可能因研究人員的活動而受到影響的 Cosmos DB 用戶。研究人員估計，只有大約 30% 的用戶可能會將他們的主要長期密鑰暴露在此問題中。這是因為 Jupyter Notebook 已默認為自 2021 年 1 月下旬以來創建的每個新 Cosmos DB 帳戶啟用，并且舊帳戶也可以手動啟用。與此同時，研究活動僅持續了大約一周，直到漏洞被報告。

研究人員說：“從今年 2 月開始，每個新創建的 Cosmos DB 帳戶都默認啟用了筆記本功能，即使客戶不知道并且從未使用過該功能，它們的主鍵也可能已經暴露。” “如果客戶在前三天沒有使用該功能，它將被自動禁用。在該窗口期間利用該漏洞的攻擊者可以獲得主鍵并可以持續訪問 Cosmos DB 帳戶。??”

緩解 Cosmos DB 漏洞

除了替換他們的主要讀寫鍵之外，Cosmos DB 用戶還應該檢查和限制他們數據庫的網絡暴露。如果可以直接從 Internet 訪問數據庫，它們顯然面臨更高的風險，但即使是那些不能直接訪問的數據庫也可能受到此漏洞的影響。

Wiz 研究人員指出，Azure 防火墻配置通常會啟用一個名為“接受來自公共 Azure 數據中心內的連接”的異常。這是某些 Azure 服務運行所必需的，但這也意味著 Azure 網絡中的任何其他租戶也可以通過網絡訪問數據庫，攻擊者不難從 Azure 內部獲取 Azure 帳戶并攻擊數據庫知識產權空間。

限制訪問的一種方法是定義允許連接到數據庫的特定 IP 地址。另一種方法是通過虛擬網絡配置對 Cosmos DB 的訪問，第三種方法是為專用終結點連接配置 Azure 專用鏈接。

重新生成主鍵需要用輔助鍵替換所有應用程序中的主鍵，然后按照Microsoft 指南中的說明重新生成主鍵。但是，在該過程開始之前，組織應該擁有啟用 Jupyter Notebook 的 Cosmos DB 清單。

一種簡單的方法是對 [cosmosdb-name].notebook.cosmos.azure.com 執行 nslookup，其中 [cosmosdb-name] 是他們擁有的每個 Cosmos DB 帳戶的名稱。如果啟用了 Jupyter 功能，則該子域應該存在并且 nslookup 應該返回有關它的信息。如果 nslookup 響應 domain not found，則表示未為該帳戶啟用 Jupyter。

由于密鑰重新生成可能是一個漫長的過程，取決于應用程序配置的更新速度，因此安全團隊可能希望監控是否以及何時為每個 Cosmos DB 帳戶重新生成了密鑰。Wiz創建了一個簡短的 PowerShell 腳本，可以通過分析日志來實現這一點。

要考慮的另一個長期緩解措施是從主要和次要訪問密鑰遷移到基于角色的訪問控制 (RBAC)。這允許對 Cosmos DB 的每個用戶和安全主體進行更細粒度的訪問控制，并且可以在 Azure Cosmos DB 診斷日志中審核身份。啟用診斷日志記錄還有助于發現來自可疑或未經授權的 IP 地址的訪問。