Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Microsoft, Azure 고객에게 Cosmos DB의 치명적인 취약점에 대해 경고
작성일 2021-08-30 조회 154

 


Microsoft는 수천 명의 Azure 고객에게 Cosmos DB에서 발견되어 현재 수정된 치명적인 취약점으로 인해 모든 사용자가 승인 없이 전체 관리자 접근 권한을 부여하여 다른 사용자의 데이터베이스를 원격으로 인수할 수 있다고 경고했다.


Azure Cosmos DB는 Mercedes Benz, Symantec, Coca-Cola, Exxon-Mobil 및 Citrix를 비롯한 유명 고객이 사용하는 전 세계적으로 분산되고 완전히 관리되는 NoSQL 데이터베이스 서비스다.


Microsoft는 고객에게 "최근 Azure Cosmos DB의 취약성을 인지하게 되었으며, 이는 사용자가 계정의 기본 읽기-쓰기 키를 사용하여 다른 고객의 리소스에 접근할 수 있게 해준다"고 말했다.


"우리는 연구자 외부의 엔티티가 당신의 Azure Cosmos DB 계정과 관련된 기본 읽기-쓰기 키에 접근할 수 있다는 어떤 징후도 가지고 있지 않으며, 이 취약점으로 인한 데이터 접속을 전혀 의식하지 못하고 있다."


보안 결함을 발견한 클라우드 보안업체 Wiz 연구진은 이를 ChaosDB라고 명명하고 2021년 8월 12일 Microsoft에 공개했다.


이 버그로 인해 공격자는 기본적으로 활성화되고 고객이 데이터를 시각화할 수 있도록 설계된 Jupyter Notebook 기능의 일련의 버그를 악용할 수 있다.


공격이 성공하면 이들은 기본 키를 포함한 다른 사용자의 Cosmos DB 자격 증명에 접근할 수 있으며, 이를 통해 Microsoft Azure 고객의 데이터베이스 및 계정에 대한 완전하고 무제한 원격 접근을 제공할 수 있었다.


연구원들은 "이 취약점은 대상 환경에 대한 사전 접근이 필요하지 않은 사소한 악용이 있으며, 수많은 Fortune 500대 기업을 포함한 수천 개의 조직에 영향을 미친다"고 밝혔다.

 

 


[그림 1. ChaoDB 공격 흐름]

 

 

Microsoft는 보고서를 받은 후 48시간 이내에 취약한 진입점 기능을 비활성화하고 버그가 있는 Jupyter Notebook 기능을 비활성화한 지 2주 후인 8월 26일에 Cosmos DB 고객의 30% 이상에게 잠재적인 보안 침해에 대해 경고했다.


그러나 Wiz 연구팀에 따르면 ChaosDB 취약점이 존재하고 공개되기 몇 달 전부터 악용될 수 있었다는 점을 감안할 때 영향을 받은 실제 고객 수는 아마도 대부분의 Cosmos DB 고객을 포함하므로 훨씬 더 많을 것이다.


위험을 완화하고 잠재적인 공격을 차단하기 위해 Microsoft는 Azure 고객에게 취약한 기능이 비활성화되기 전에 도난당했을 수 있었던 Cosmos DB 기본 키를 재생성할 것을 조언한다.


또한 Azure Cosmos DB 데이터베이스를 더욱 안전하게 보호하기 위해 고객에게 다음과 같은 권장 조치를 취할 것을 권고했다. 


1. 기본 및 보조 키의 정기적 순환 및 재생성을 예약하십시오.


2. 표준 보안 모범 사례로 Azure Cosmos DB 방화벽 및 가상 네트워크 통합을 사용하여 네트워크 수준에서 계정에 대한 액세스를 제어하는 것이 좋다.


3. Azure Cosmos DB Core(SQL) API를 사용하는 경우, 기본/보조 키가 아닌 Azure Active Directory로 데이터베이스 작업을 인증하는 데 Azure Cosmos DB RBAC(역할 기반 접근 제어)를 사용하는 것을 고려하십시오. RBAC를 사용하면 계정의 기본/보조 키를 완전히 비활성화할 수 있다.


4. Azure Cosmos DB에서 사용할 수 있는 보안 제어에 대한 전체 개요는 보안 기준을 참조하십시오. 


Cosmos DB 계정의 모든 과거 활동을 검토하여 이 취약점을 악용하려는 이전 시도를 탐지하는 것도 권장된다.


Microsoft의 요청에 따라 연구진은 위협 행위자가 자신의 익스플로잇을 생성하는 데 도움이 될 수 있는 ChaosDB 결함에 대한 기술 정보를 아직 공개하지 않았지만 곧 전체 기술 문서를 게시할 예정이다. 


Wiz 연구팀은 최근 주요 DNSaaS(DNSaaS) 제공업체에 영향을 미치는 DNS 취약성의 새로운 종류를 공개했는데, 이는 공격자가 "국가 수준 스파이 활동"으로 묘사된 캠페인으로 기업 네트워크의 중요한 정보에 접근할 수 있게 해준다.

 

 

 

출처
https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-azure-customers-of-critical-cosmos-db-vulnerability/

첨부파일 첨부파일이 없습니다.
태그 ChaosDB   Cosmos DB  Azure  Jupyter Notebook