Azure Cosmos DBは、グローバル分散された、フルマネージドのNoSQLデータベースサービスだ。最近、Microsoftは何千ものCosmos DBの顧客に、データが晒されてしまう脆弱性について警告した。サービスの欠陥により、悪意のある攻撃者にアクセスキーが付与され、機密データが盗まれたり、変更されたり、削除されたりする可能性がある。
テルアビブを拠点とするWiz.ioの研究者チームは、セキュリティ上の欠陥を発見し、ChaosDBと名付け、今月初めにMicrosoftに開示した。2019年にCosmosDBに追加されたJupyter Notebook機能を介してCosmos DBが悪用される可能性がある。この機能によって、Cosmos DBの顧客はデータを見える化し、ビューをカスタマイズできる。
Microsoftは、今年の2月に、すべてのCosmos DBインスタンスでJuypter Notebook機能をデフォルトでオンにした。ところが、最近のWiz.ioブログ投稿によると、Wiz.ioの研究者が、機能の設定ミスを見つけており、悪用することができた。
つまり、notebookコンテナで、他の顧客のnotebookへの特権の昇格ができたんです。そのため、攻撃者は顧客のCosmos DBプライマリキーや、他にもnotebook BLOBストレージアクセストークンなどの機密性の高いシークレットにアクセスする可能性があります。
攻撃者はアクセスキーを使って、影響のあるCosmosDBアカウントに保存されているすべてのデータに対して、完全な管理者権限のアクセスを行うことができる。さらに、攻撃者は、読み取り/書き込み/削除のフル権限で、インターネットから直接顧客のCosmos DBをコントロールできる。
Wiz.ioは、この脆弱性についてMicrosoftのセキュリティチームに通知した。これをきっかけは、機能をオフにするための緊急のアクションがとられた。さらに、同社は影響を受けるすべての顧客に、アクセスを変更するようにアドバイスするメールを送信した。最近のMicrosoft Security Centerのブログ投稿で、この脆弱性についてセキュリティチームは次のように述べている。
調査の結果、この脆弱性のせいで、サードパーティまたはセキュリティ研究者によって顧客データにアクセスされることは、どの顧客に対してもなかったことが示されています。研究者による調査中に、キーが影響を受けた可能性のある顧客に対しては、キーを再生成するよう通知しました。
Wizのブログ投稿によると、この脆弱性は何ヶ月にもわたって悪用され得る状態となっていたため、Microsoftが通知した顧客よりも多くのCosmos DBの顧客が危険にさらされている。さらに、いくつかのメディアチャネルが脆弱性の話を取り上げ、ソーシャルメディアでの議論は活発だ。
Hacker Newsスレッドの投稿者の一人は、脆弱性に関して懸念をいくつか述べている。
この特定の失敗とは別に、すべてのクラウドプロバイダが提供するサービスを相互接続しようとしているやり方に対して緊張感がより高まっています。気づかずに、過度に許容するIAMポリシーを誤って付与することが簡単にできてしまいます。
さらに、ハッカーのDino A. Dai Zoviはツイートで次のように述べている。
AzureのCosmos DBに対するこの手のクロステナント攻撃は、サービスにおいて、クライアントサイドのアプリレイヤ暗号化が必要な理由の良い例です。そのため、データストアでは、主に機密データの暗号文を格納するのです。
最後に、2021年1月、米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)は、クラウドサービスを使う企業に警告するレポートを公開した。
攻撃者は、フィッシングやその他の手段を使って、被害者のクラウドサービス設定におけるサイバースペース上の乏しい衛生慣行を悪用します。
Cosmos DBの脆弱性は、脆弱性の脅威が依然としてどれほど緻密であるかを示す1つの例だ。