ChaosDB: How we hacked thousands of Azure customers’ databasesってのを見つけたんだけど、なんか日本語記事がロイターのよくわからんのしか見当たらないので注意喚起のため軽く紹介します。
FAQ
誰が対象?
・Jupyter Notebookを有効化したCosmosDBは全て。
・2021年2月以降に作成したCosmosDBは全て。
何をすればいい?
MSの記事を参考に、CosmosDBのプライマリキーを新しく発行して更新する。
ChaosDB: How we hacked thousands of Azure customers’ databases
2019年、CosmosDBの可視化ツールとしてJupyter Notebookが導入されたよ。
2021年2月にはデフォルトで有効化されたよ。
ところがJupyter Notebookの設定ミスで、他ユーザの権限を手に入れることが可能になっていたよ。
最終的に他者のCosmosDBプライマリキーをゲットすることができたよ。
つまりそれは、CosmosDBのフルコントロール権限を手に入れたということだよ。
我々はこの脆弱性をChaosDBと名付けたよ。
この脆弱性をMSに連絡したら48時間以内に修正された。
MSは、我々の調査期間中に影響を受けた可能性のあるユーザにメールを送った。
しかしこの脆弱性は数年前から存在したから、もしかしたら影響範囲はもっと広いかもしれない。
感想
めちゃ深刻な問題だと思うんだけど全然話題になってないのはなんでだ。
公式Twitterもガンスルーだし。