È stata segnalata una vulnerabilità riguardante Microsoft Azure che avrebbe esposto i dati di 3300 clienti del noto servizio cloud negli ultimi due anni a causa di un difetto riferito al prodotto Azure Cosmos DB. La funzione responsabile della vulnerabilità è Jupyter Notebook, un’applicazione web che era stata introdotta nel 2019 e che nel 2021 è stata integrata di default in tutti i database Cosmos.
Da quanto riportato dall’esperto di sicurezza che ha scoperto il problema, sfruttando una serie di falle di sicurezza della funzione, era possibile scalare i privilegi e ottenere anche l’accesso alle chiavi primarie di accesso di altri utenti di Cosmos DB. Grazie all’esfiltrazione di tali informazioni è stato così possibile accedere in modo completo e senza restrizioni agli account e ai database dei clienti Azure, con la possibilità di scaricare, cancellare o manipolare i dati in modo massivo. Si parla infatti di “full admin access to all the data stored”, ovverosia un accesso senza alcun tipo di limitazione dei privilegi.
Microsoft, pur escludendo di aver rilevato accessi anomali dovuti alla vulnerabilità evidenziata, ha annunciato ed operato una strategia di mitigazione bloccando la funzione compromessa ed invitando gli utenti a rigenerare le proprie chiavi d’accesso primarie. Sebbene dall’investigazione in corso nelle ultime due settimane e dal controllo dei log non sono state riscontrate evidenze relative ad attività sospette né riguardanti lo sfruttamento della vulnerabilità per un attacco, il problema evidenziato sembra essere destinato ad avere ricadute senz’altro significative.
Infatti, fra i clienti del servizio rientrano organizzazioni top-tier, fra cui Citrix, Coca-Cola, Symantec o Skype per fare alcuni esempi, e dunque l’impatto della violazione assume un rilievo allarmante in considerazione del volume dei soggetti potenzialmente coinvolti. Ciascuno degli account Cosmos DB, infatti, soprattutto se creato dopo gennaio 2021 per cui la funzione Jupyter Notebook è stata inserita di default, è stato esposto negli ultimi due anni al rischio di esfiltrazione della propria chiave primaria con ricadute significative sulla sicurezza dei propri sistemi soprattutto in considerazione di strategie di attacco a lungo termine.
Consapevoli di tale rischio, dunque, le organizzazioni clienti dovranno procedere ad intraprendere azioni di verifica e contenimento del rischio, non potendosi limitare soltanto a rigenerare le proprie chiavi primarie. Tutt’altro, dovranno predisporre delle strategie per la tutela della sicurezza delle informazioni inserite nei propri database al fine di difendere la propria organizzazione – nonché gli interessati cui talune delle informazioni si riferiscono – da un eventuale cyberattacco che potrebbe avere conseguenze potenzialmente devastanti e di larga scala.
