Cosmos DB 用户建议在严重漏洞后重新生成他们的密钥

在研究人员发现一个漏洞后，成千上万在 Microsoft Azure 上使用 Cosmos DB 服务的组织需要重新生成他们的主要读写密钥，该漏洞可以让外部攻击者访问复制、删除或修改存储在数据库中的数据。微软在服务器端修复了该漏洞，并表示他们没有看到数据被未经授权方访问的证据，但发现该漏洞的研究人员和美国网络安全和基础设施安全局 (CISA) 建议所有 Cosmos DB 用户启用了 Jupyter Notebook 功能后，可以旋转它们的键。

Jupyter Notebook 权限提升

该漏洞位于Jupyter Notebook 中，这是一种用于数据探索、数据清理、数据转换、数值模拟、统计建模、数据可视化和机器学习的 Microsoft Azure 工具。该工具与 Cosmos DB 集成，后者是一种 NoSQL 类型的数据库服务，用于为数千个组织（包括许多财富 500 强公司）存储 Azure 托管应用程序的数据。

云安全公司 Wiz 的研究人员在一份报告中说：“笔记本功能中的一系列错误配置开辟了一个我们能够利用的新攻击媒介。” “简而言之，笔记本容器允许将权限提升到其他客户笔记本。因此，攻击者可以访问客户的 Cosmos DB 主键和其他高度敏感的机密，例如笔记本 blob 存储访问令牌。”

主键提供对 Cosmos 数据库实例的管理员级别访问权限，并具有完整的读/写/删除权限。数据库服务还要求用户拥有辅助密钥，以简化密钥轮换过程。辅助键不受影响。

由于在研究人员于 8 月 12 日发现并报告该漏洞之前没有发现该漏洞已被利用的证据，因此微软仅通知了可能因研究人员的活动而受到影响的 Cosmos DB 用户。研究人员估计，只有大约 30% 的用户可能会将他们的主要长期密钥暴露在此问题中。这是因为 Jupyter Notebook 已默认为自 2021 年 1 月下旬以来创建的每个新 Cosmos DB 帐户启用，并且旧帐户也可以手动启用。与此同时，研究活动仅持续了大约一周，直到漏洞被报告。

研究人员说：“从今年 2 月开始，每个新创建的 Cosmos DB 帐户都默认启用了笔记本功能，即使客户不知道并且从未使用过该功能，它们的主键也可能已经暴露。” “如果客户在前三天没有使用该功能，它将被自动禁用。在该窗口期间利用该漏洞的攻击者可以获得主键并可以持续访问 Cosmos DB 帐户。​​”

缓解 Cosmos DB 漏洞

除了替换他们的主要读写键之外，Cosmos DB 用户还应该检查和限制他们数据库的网络暴露。如果可以直接从 Internet 访问数据库，它们显然面临更高的风险，但即使是那些不能直接访问的数据库也可能受到此漏洞的影响。

Wiz 研究人员指出，Azure 防火墙配置通常会启用一个名为“接受来自公共 Azure 数据中心内的连接”的异常。这是某些 Azure 服务运行所必需的，但这也意味着 Azure 网络中的任何其他租户也可以通过网络访问数据库，攻击者不难从 Azure 内部获取 Azure 帐户并攻击数据库知识产权空间。

限制访问的一种方法是定义允许连接到数据库的特定 IP 地址。另一种方法是通过虚拟网络配置对 Cosmos DB 的访问，第三种方法是为专用终结点连接配置 Azure 专用链接。

重新生成主键需要用辅助键替换所有应用程序中的主键，然后按照Microsoft 指南中的说明重新生成主键。但是，在该过程开始之前，组织应该拥有启用 Jupyter Notebook 的 Cosmos DB 清单。

一种简单的方法是对 [cosmosdb-name].notebook.cosmos.azure.com 执行 nslookup，其中 [cosmosdb-name] 是他们拥有的每个 Cosmos DB 帐户的名称。如果启用了 Jupyter 功能，则该子域应该存在并且 nslookup 应该返回有关它的信息。如果 nslookup 响应 domain not found，则表示未为该帐户启用 Jupyter。

由于密钥重新生成可能是一个漫长的过程，取决于应用程序配置的更新速度，因此安全团队可能希望监控是否以及何时为每个 Cosmos DB 帐户重新生成了密钥。Wiz创建了一个简短的 PowerShell 脚本，可以通过分析日志来实现这一点。

要考虑的另一个长期缓解措施是从主要和次要访问密钥迁移到基于角色的访问控制 (RBAC)。这允许对 Cosmos DB 的每个用户和安全主体进行更细粒度的访问控制，并且可以在 Azure Cosmos DB 诊断日志中审核身份。启用诊断日志记录还有助于发现来自可疑或未经授权的 IP 地址的访问。