수요일, 12월 25, 2024

Microsoft Azure 데이터베이스가 노출된 거대한 보안 결함 – channelnews

날짜:

Microsoft Azure는 Fortune 500대 기업을 포함한 주요 데이터베이스 서비스인 CosmosDB의 고객이 새롭고 위험한 해킹으로부터 보호하기 위해 즉시 액세스 키를 교체해야 하는 상황에서 또 다른 보안 문제에 직면해 있습니다.

보안 회사 Wiz, Nir Ohfeld 및 Sagi Tzadik의 ChaosDB라는 이름의 이 취약점은 2019년에 추가되어 2021년 2월에 모든 고객에게 자동으로 켜진 Jupyter Notebook(아래)이라는 데이터 시각화 기능을 악용합니다.

Ohfeld와 Tzadik은 Jupyter Notebook의 보안 문제로 인해 해커가 사용자의 기본 키에 액세스할 수 있으며 여기에서 전체 데이터베이스를 읽고, 쓰고, 삭제할 수 있다고 말합니다.

사진: 위즈

“최근 몇 년 동안 더 많은 기업이 클라우드로 이동하면서 데이터베이스 노출이 놀라울 정도로 보편화되었으며, 그 원인은 대개 고객 환경의 잘못된 구성입니다. 이 경우 고객의 잘못이 아닙니다.

Team Wiz는 “대신 Cosmos DB 기능의 일련의 결함으로 인해 모든 사용자가 거대한 상용 데이터베이스 세트를 다운로드, 삭제 또는 조작할 수 있을 뿐만 아니라 Cosmos DB 인프라에 대한 읽기/쓰기 액세스를 허용하는 취약점이 생성되었습니다”라고 말했습니다. .

Uhfeld와 Tzadik에 따르면 Microsoft의 보안 팀은 알림을 받은 후 48시간 이내에 취약한 기능을 비활성화했지만 노트북 기능을 사용하거나 2021년 1월 이후에 생성된 계정은 여전히 ​​위험할 수 있습니다.

2월부터 새로 생성되는 모든 코스모스 DB 계정에 대해 노트북 기능이 기본적으로 활성화되어 있으며, 고객이 모르고 사용하지 않아도 기본 키가 노출될 수 있습니다.

“고객이 처음 3일 동안 기능을 사용하지 않으면 자동으로 비활성화됩니다. 해당 기간 동안 취약점을 악용한 공격자는 기본 키와 Cosmos DB 계정에 대한 영구 액세스 권한을 얻을 수 있습니다.”

ChaosDB는 SolarWinds가 해킹되고 올해 초 PrintNightmare 익스플로잇이 발견된 후의 또 다른 Microsoft 보안 문제입니다.

관련 기사

Battletoads/Double Dragon이 Nintendo의 Switch Online 라이브러리에 진출하고 있습니다.

NES 및 SNES 콘솔 시대에 자랐다면 이 게임이 이후 최고의 비디오 게임 중 하나라는 사실을 알고 기뻐할 것입니다....

White Fragility 저자 Robin DiAngelo에 대한 표절 고소가 기각되었습니다. 서적

지난달 'White Fragility'를 비롯해 인종차별에 관한 여러 책을 쓴 로빈 디안젤로(Robin DiAngelo)를 대상으로 제기된 표절 고소장이 기각됐다.DiAngelo의 2004년...

2024 한국영화제, 우정을 다룬 영화 5편

크리스토퍼 퍼넬(Christopher Purnell) - Philstar.com2024년 9월 18일 | 오후 7시 14분 마닐라, 필리핀 - 올해 한국영화제는 한국과 필리핀...

SpaceX는 희귀하고 위험한 착륙으로 Falcon 9 로켓을 벼랑 끝으로 밀어 넣습니다.

이것은 투자 조언이 아닙니다. 저자는 언급된 주식에 대해 어떠한 입장도 갖고 있지 않습니다. Wccftech.com에는 공개 및 윤리 정책이...