严重的Cosmos数据库缺陷影响了数千名Microsoft Azure客户

云基础设施安全公司Wiz周四披露了一个现已修复的Azure Cosmos数据库漏洞的详细信息，该漏洞可能被利用，在没有任何授权的情况下，授予任何Azure用户对其他客户数据库实例的完全管理访问权。

该漏洞授予读取、写入和删除权限，被称为“ChaosDB”，Wiz研究人员指出，“该漏洞有一个微不足道的漏洞，不需要事先访问目标环境，并影响数千家组织，包括众多《财富》500强公司。”

Cosmos DB是微软专有的NoSQL数据库，被宣传为“一种完全管理的服务”，它“通过自动管理、更新和修补，让数据库管理从您的手中解放出来。”

Wiz研究团队于8月12日向微软报告了这一问题，之后，这家Windows制造商采取措施，在负责任的披露后48小时内缓解了这一问题，并于8月17日向发现者提供了4万美元的奖金。

微软在一份声明中表示：“我们没有迹象表明研究人员之外的外部实体可以访问与你的Azure Cosmos DB帐户相关的主读写密钥。”。“此外，由于此漏洞，我们不知道有任何数据访问。启用vNET或防火墙的Azure Cosmos DB帐户受到其他安全机制的保护，以防止未经授权的访问风险。”

Wiz发现的漏洞涉及Cosmos DB的Jupyter Notebook功能中的一系列漏洞，使对手能够获取与目标Cosmos DB帐户对应的凭据，包括主键，该主键提供对数据库帐户管理资源的访问。

“使用这些凭证，可以通过多个渠道查看、修改和删除目标Cosmos DB帐户中的数据，”研究人员说。因此，任何启用Jupyter笔记本功能的Cosmos DB资产都可能受到影响。

尽管微软向超过30%的Cosmos DB客户通报了潜在的安全漏洞，但鉴于该漏洞已被利用数月，Wiz预计实际数字会高得多。

Wiz研究人员指出：“每个Cosmos DB客户都应该假设他们已经暴露在环境中。我们还建议查看Cosmos DB账户中过去的所有活动。”此外，微软还敦促其客户重新生成他们的Cosmos DB主键，以减轻该漏洞带来的任何风险。