بدترین آسیب‌پذیری ابری: مشتریان آژور مایکروسافت دو سال در معرض خطر بوده‌اند

مایکروسافت به هزاران مشتری سرویس ابری آژور هشدار داده که اطلاعات آن‌ها بر اثر یک آسیب‌پذیری جدی در طول دو سال اخیر به‌طور کامل در دسترس بوده است. در میان این مشتریان بسیاری از شرکت‌های فهرست فورچون ۵۰۰ هم حضور دارند.

یک آسیب‌پذیری در پایگاه داده Microsoft Azure Cosmos DB باعث شده مهاجمان به‌صورت غیرمجاز به اطلاعات بیش از ۳۳۰۰ مشتری سرویس آژور دسترسی پیدا کنند. این آسیب‌پذیری زمانی به وجود آمد که مایکروسافت در سال ۲۰۱۹ قابلیتی به نام Jupyter Notebook را به Cosmos DB اضافه کرد. این ویژگی در ماه فوریه سال ۲۰۲۱ به شکل پیش‌فرض برای همه کاربران فعال شد.

وب‌سایت سرویس Azure Cosmos DB نام‌هایی همچون کوکاکولا، اکسان‌موبیل، والگرینز و Liberty Mutual Insurance را به عنوان مشتریان خود ذکر کرده است. «امی لوت‌واک»، مدیر ارشد فناوری شرکت Wiz که این ایراد را کشف کرده می‌گوید: «این بدترین آسیب‌پذیری ابری قابل تصور است. بحث پایگاه داده مرکزی آژور در میان است و می‌توانیم به هر پایگاه داده‌ای که بخواهیم دسترسی پیدا کنیم.»

مایکروسافت می‌گوید با وجود شدت و خطر آسیب‌پذیری هنوز هیچ مدرکی مبنی بر دسترسی غیرمجاز به اطلاعات پیدا نکرده است. این شرکت بابت کشف این آسیب‌پذیری ۴۰ هزار دلار به Wiz پاداش داده و مدعی است که بررسی لاگ‌ها از رخنه به پایگاه‌های داده این سرویس حکایت نمی‌کند.

شرکت Wiz در پست مفصلی می‌گوید آسیب‌پذیری حاضر به محققان اجازه داده به کلیدهایی دسترسی پیدا کنند که ایمنی پایگاه‌های داده Cosmos DB را برای کاربران مایکروسافت تامین می‌کنند. کسی که این کلیدها را در دست می‌گیرد، به قابلیت کامل خواندن، نوشتن و حذف اطلاعات هزاران کاربر سرویس آژور دست می‌یابد.

Wiz مدعی است که این مشکل را دو هفته پیش پیدا و مایکروسافت پس از ۴۸ ساعت آن را برطرف کرده است. با این حال، مایکروسافت نمی‌تواند کلیدهای اصلی مشتریان خود را تغییر دهد و به همین دلیل به کاربران Cosmos DB ایمیل داده تا آن‌ها به‌صورت دستی با تغییر کلیدها جلوی خطر احتمالی را بگیرند.