Güvenlik araştırmacıları Microsoft’un amiral gemilerinden birisi olan Cosmos DB veritabanında zafiyet bulunduğunu ve saldırganların okuma,yazma ve değiştirme yetkilerine sahip olabileceklerini belirtti. İçerisinde çok büyük şirketlerinde bulunduğu binlerce müşteriyi etkileyebilecek zafiyeti güvenlik şirketi Wiz’deki bir araştırma ekibi keşfetti. Wiz Teknoloji Sorumlusu Ami Luttwak, Microsoft’un bulut güvenlik grubunda eski bir ekip çalışanı.
Wiz ekip çalışanları yaptıkları kontrollerde binlerce şirketin veritabanını kontrol eden anahtarların erişime açık olduğunu fark etti. Microsoft bu anahtarları kendi başına değiştiremediği için Perşembe günü müşterilere yenilerini oluşturmalarını söyleyen bir e-posta gönderdi ve Wiz’e gönderdiği eposta ile kusuru bulması ve bildirmesi için 40.000 dolar teklif etti.
Microsoft, verdiği demeçte, “Müşterilerimizi güvende tutmak ve korumak için bu sorunu hemen çözdük. Bu kritik zafiyetin bulunmasında yaptıkları yardımlardan dolayı güvelik araştırmacılarına teşekkür ediyoruz.” dedi. Microsoft ayrıca müşterilerine gönderdiği e-posta ile kusurun istismar edildiğine dair bir kanıt olmadığını iletti. E-postada, “Araştırmacıların (Wiz) dışındaki kişilerin okuma/yazma anahtarına erişimi olduğuna dair hiçbir göstergemiz yok” dedi.
Wiz ise yaptığı açıklamada “Bu, hayal edebileceğiniz en kötü bulut güvenlik açığı.Bu veri tabanı, Azure’un merkezi veritabanıdır ve istediğimiz herhangi bir müşteri veritabanına erişebildik.” dedi. Luttwak, ekibinin ChaosDB olarak adlandırılan sorunu 9 Ağustos’ta bulduğunu ve 12 Ağustos’ta Microsoft’a bildirdiğini söyledi. Kusur, yıllardır mevcut olan ancak Şubat ayından itibaren Cosmos’ta varsayılan olarak etkinleştirilen Jupyter Notebook aracından kaynaklandı. Luttwak, Microsoft tarafından bilgilendirilmeyen müşterilerin erişim anahtarlarının bile saldırganlar tarafından çalınabileceğini ve bu anahtarlar değiştirilene kadar erişim sağlayabileceğini söyledi. Microsoft zafiyeti ancak Wiz’in keşfetmesi sonrası fark edebildi.
Microsoft son zamanlarda özellikle Exchange sunucularda çıkan zafiyetler ile boğuşurken Azure veritabanında çıkan bu zafiyet adeta tuz biber oldu.
Kaynak: reuters.com
