Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en Microsoft Azure Cosmos DB

Vulnerabilidad en Microsoft Azure Cosmos DB

Fecha de publicación: 
01/09/2021
Importancia: 
4 - Alta
Recursos afectados: 

Microsoft Azure Cosmos DB, con la función Jupyter Notebook activada.

Descripción: 

Un investigador de seguridad ha informado de una vulnerabilidad en la función Jupyter Notebook de Azure Cosmos DB que podría permitir a un atacante obtener acceso a los recursos de otro cliente.

Solución: 
  • La vulnerabilidad fue mitigada por el fabricante de forma inmediata tras recibir la información por parte de los investigadores.
  • Microsoft ha notificado a los clientes, cuyas claves pudieron haberse visto afectadas durante la actividad de los investigadores, para que generen nuevas claves.
  • Aunque los datos de los clientes no se hayan visto comprometidos, se recomienda regenerar las claves primarias de lectura y escritura siguiendo los pasos descritos en la documentación técnica
  • Como medida de mitigación adicional, se recomienda seguir las medidas de buenas prácticas siguientes:
    • Todos los clientes de Azure Cosmos DB deben utilizar una combinación de reglas de firewall, vNet y/o Azure Private Link en su cuenta. Estos mecanismos de protección de red impiden el acceso desde fuera de su red y desde lugares inesperados.
    • Además de implementar controles de seguridad de red, se recomienda el uso del control de acceso basado en roles (Role Based Access Control), que permite el control de acceso al usuario y al responsable de seguridad a Azure Cosmos DB. Estos usuarios pueden ser auditados en los registros de diagnóstico de Azure Cosmos DB.
    • Si no puede utilizarse el control de acceso basado en roles, se recomienda la implementación de una rotación programada de las claves.
    • Pueden encontrarse más prácticas de seguridad en la documentación básica de seguridad de Azure Cosmos DB.
Detalle: 

Una vulnerabilidad de configuración inadecuada en la función Jupyter Notebook, de Azure Cosmos DB, podría permitir a un atacante obtener acceso a los recursos de otro cliente utilizando la clave principal de lectura y escritura de la cuenta.

Encuesta valoración