Güvenlik açığı, Microsoft Azure’un amiral gemisi Cosmos veritabanında bulunuyor
Microsoft Perşembe günü, dünyanın en büyük şirketlerinden bazıları da dahil olmak üzere binlerce bulut bilişim müşterisini, e-postanın bir kopyasına ve bir siber güvenlik araştırmacısına göre davetsiz misafirlerin ana veritabanlarını okuma, değiştirme ve hatta silme yeteneğine sahip olabileceği konusunda uyardı.
Güvenlik açığı, Microsoft Azure’un amiral gemisi Cosmos veritabanında bulunuyor. Güvenlik şirketi Wiz’deki bir araştırma ekibi, binlerce şirketin sahip olduğu veritabanlarına erişimi kontrol eden anahtarlara erişebildiğini keşfetti. Wiz Baş Teknoloji Sorumlusu Ami Luttwak, Microsoft’un Bulut Güvenlik Grubunda eski bir teknoloji sorumlusudur.
Microsoft bu anahtarları kendi başına değiştiremediği için Perşembe günü müşterilere yenilerini oluşturmalarını söyleyen bir e-posta gönderdi. Microsoft, Wiz’e gönderdiği bir e-postaya göre, kusuru bulması ve bildirmesi için Wiz’e 40.000 dolar ödemeyi kabul etti.
Microsoft sözcüleri hemen yorum yapmadı.
Microsoft’un müşterilere gönderdiği e-posta, güvenlik açığının düzeltildiğini ve açıktan yararlanıldığına dair hiçbir kanıt bulunmadığını söyledi.
Reuters tarafından görülen e-postanın bir kopyasına göre şu ifadeler yer alıyor: “Araştırmacının (Wiz) dışındaki harici varlıkların birincil okuma-yazma anahtarına erişimi olduğuna dair hiçbir belirtimiz yok. Bu, hayal edebileceğiniz en kötü bulut güvenlik açığı. Luttwak Reuters’e verdiği demeçte, bu uzun süreli bir sır” dedi. “Bu, Azure’un merkezi veritabanıdır ve istediğimiz herhangi bir müşteri veritabanına erişebildik.”
Luttwak, Luttwak’ın ekibinin ChaosDB olarak adlandırılan sorunu 9 Ağustos’ta bulduğunu ve 12 Ağustos’ta Microsoft’a bildirdiğini söyledi.
Açıklama, Microsoft için aylarca süren yetersiz güvenlik önlemleri haberlerinden sonra geldi. Şirket, Microsoft kaynak kodunu çalan SolarWinds'e sızan aynı şüpheli Rus korsanları tarafından ihlal edildiği iddia edildi.
Bilgisayarın ele geçirilmesine izin veren bir yazıcı hatası için yakın zamanda yapılan bir düzeltme, tekrar tekrar yapılması gerekti. Ve geçen hafta bir Exchange e-posta hatası, burada acil bir ABD hükümetinin, müşterilerin aylar önce yayınlanan yamaları şimdi fidye yazılımı çeteleri tarafından istismar edilmesi nedeniyle yüklemeleri gerektiği konusunda uyarmasına sebep oldu.
Comments