상세 컨텐츠

본문 제목

치명적인 Azure Cosmos DB 취약점, 전체 클라우드 계정 탈취 허용해

국내외 보안동향

by 알약4 2021. 8. 30. 11:48

본문

 

 

Critical Cosmos Database Flaw Affected Thousands of Microsoft Azure Customers

클라우드 인프라 보안 회사인 Wiz가 Azure 사용자의 승인 없이 다른 고객의 데이터베이스 인스턴스에 대한 전체 관리자 액세스 권한을 부여하기 위해 잠재적으로 악용될 수 있는 Azure Cosmos 데이터베이스 취약점에 대한 세부 정보를 공개했습니다. 

데이터베이스 인스턴스의 모든 정보에 대해 읽기, 쓰기 및 삭제 권한을 부여하는 이 취약점은 "ChaosDB"라고 명명되었습니다. 

클라우드 취약점이 해당 시스템 내에서 지정되지 않기 때문에 ChaosDB에는 CVE가 없습니다.

Cosmos DB는 자동 관리, 업데이트 및 패치를 통해 데이터베이스 관리를 돕는 마이크로소프트의 독점 NoSQL 데이터베이스입니다. 

ChaosDB는 Jupyter Notebook의 기능에 존재합니다. Jupyter Notebook은 사용자가 라이브 코드, 방정식, 시각화 및 설명 텍스트가 포함된 문서를 만들고 공유할 수 있는 오픈 소스 웹 애플리케이션입니다. 

악의적인 공격자는 대상 Cosmos DB Jupyter Notebook에 대한 정보를 쿼리함으로써 Jupyter Notebook 컴퓨팅 인스턴스와 다른 사용자의 Jupyter Notebook Storage 계정에 대한 자격 증명을 가로챌 수 있습니다. 

Wiz가 식별한 익스플로잇은 Cosmos DB의 Jupyter Notebook 기능에 있는 일련의 취약점과 관련이 있으며 공격자는 데이터베이스 계정에 대한 관리 리소스에 대한 액세스를 제공하는 기본 키를 포함하여 대상 Cosmos DB 계정에 해당하는 자격 증명을 얻을 수 있습니다. 

이러한 자격 증명을 사용하면 공격자는 여러 채널을 통해 대상 코스모스 DB 계정의 데이터를 보고 수정하고 삭제할 수 있습니다. 

결과적으로 Jupyter Notebook 기능이 활성화된 모든 Cosmos DB 자산이 잠재적으로 영향을 받습니다. 

Wiz 연구팀은 8월 12일 이 문제를 마이크로소프트에 보고했으며, 윈도우 제조업체는 48시간 이내에 문제를 완화하기 위한 조치를 취한 뒤, 8월 17일 발견자에게 40,000달러의 현상금을 수여했습니다. 

마이크로소프트는 연구원 외부에서 Azure Cosmos DB 계정과 연결된 기본 읽기-쓰기 키에 액세스했다는 증거가 발견되지 않았으며 이 취약점으로 인한 데이터 액세스가 감지되지 않았다고 밝혔습니다. 

마이크로소프트는 Wiz에서 경고를 받은 후 취약점이 있는 구성 요소를 비활성화하고 Cosmos DB 고객의 30% 이상에게 잠재적인 보안 침해에 대해 통지했지만 Wiz는 취약점이 수개월 동안 악용될 수 있었기 때문에 실제 영향을 받은 고객의 수치는 훨씬 더 높을 것으로 예상했습니다. 

 

보안 전문가는 Cosmos DB 고객들에게 Cosmos DB 계정의 모든 과거 활동을 검토할 것을 권장했습니다. 또한 마이크로소프트는 취약점으로 인해 발생하는 위험을 완화하기 위해 고객에게 Cosmos DB 기본 키를 다시 생성할 것을 촉구했습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/08/critical-cosmos-database-flaw-affected.html
https://threatpost.com/azure-cosmos-db-bug-cloud/168986/

관련글 더보기

댓글 영역