Ils piratent les bases de données Azure de milliers d'entreprises
Des chercheurs en cybersécurité ont découvert des failles dans les bases de données Cosmos DB sur Azure. Les entreprises concernées doivent agir rapidement pour ne pas exposer leurs données.
«Nous avons pu obtenir un accès complet et sans restriction aux comptes et aux bases de données de plusieurs milliers de clients Microsoft Azure, dont de nombreuses entreprises du classement Fortune 500», rapportent les chercheurs de l’entrepise de cybersécurité Wiz dans un billet de blog. L’exposition non voulue de bases de données cloud arrive fréquemment, en général à cause de mauvaises configuration de la part des clients. Or cette fois, les clients n’y sont pour rien. Les chercheurs ont en effet pu accéder aux comptes Cosmos DB a cause d'une série de failles permettant au final de télécharger, supprimer ou manipuler une collection massive de bases de données d’entreprises.
Nommée #ChaosDB par les chercheurs en cybersécurité de Wiz, la vulnérabilité provenait d’une série de mauvaises configurations de la fonctionnalité appelée Jupyter Notebook, qui permet aux clients de visualiser leurs données et de créer des vues personnalisées. Cette fonctionnalité a été automatiquement activée pour toutes les bases de données Cosmos en février 2021. Cette vulnérabilité permettait d’avoir accès aux clés primaires Cosmos DB. «Les clés primaires sont le Saint Graal pour les attaquants - elles ont une longue durée de vie et permettent un accès complet en lecture/écriture/effacement aux données des clients», lit-on dans le rapport de Wiz. Pour avoir découvert et communiqué cette vulnérabilité à Microsoft, les chercheurs ont reçu 40’000 dollars de récompense, selon les informations de Reuters.
Microsoft a rapidement appliqué des correctifs, moins de 48 heures après avoir été notifié du problème. Les entreprises concernées doivent toutefois agir rapidement pour ne pas exposer leurs données. En effet, les clients peuvent encore être affectés puisque leurs clés d'accès primaires ont potentiellement été exposées. Selon Wiz, Microsoft a informé plus de 30% des clients de Cosmos DB qu'ils devaient faire réinitialiser manuellement leurs clés d'accès pour limiter les risques.
