ChaosDB: How we hacked thousands of Azure customers’ databases
a series of flaws in a Cosmos DB feature created a loophole allowing any user to download, delete or manipulate a massive collection of commercial databases, as well as read/write access to the underlying architecture of Cosmos DB.
ちょうど別の脆弱性も発覚 (スコア:2)
Power Appsのは設定変更してない奴が悪いって強弁すればどうにかなりそうな話ですが、こっちは本物の脆弱性。
https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-custo... [www.wiz.io]
ChaosDB: How we hacked thousands of Azure customers’ databases
a series of flaws in a Cosmos DB feature created a loophole allowing any user to download, delete or manipulate a massive collection of commercial databases, as well as read/write access to the underlying architecture of Cosmos DB.
・2019年、CosmosDBの可視化ツールとしてJupyter Notebookが導入された。
・Jupyter Notebookの設定ミスで、他ユーザの権限を手に入れることが可能だった。
・最終的に他者のCosmosDBプライマリキーをゲットすることができた。
・MSに連絡したら48時間以内に修正された。
めちゃ深刻な問題だと思うんだけど全然話題になってない。