Azure Cosmos DB の Jupyter Notebook 機能による脆弱性対応について
脆弱性の概要
Azure Cosmos DB を活用している 3,300 を超えるユーザーにおいて、Azure Cosmos DB の読み取り/書き込み用プライマリキーが Azure Cosmos DB の Jupyter Notebook 機能の欠陥によって流出し、外部の攻撃者によって、Cosmos DB 内にあるデータの完全読み取り/書き込み/削除が実行可能の状態になっていました。
現在は、2021/8/27 現在、Jupyter Notebook 機能はいったん無効化され、脆弱性については修正プログラムが適用された模様です。
Jupyter Notebook 機能については、2019 年にプレビュー提供が開始され、2021 年 2 月以降では、29 のリージョン で新規作成された Azure Cosmos DB アカウントは Jupyter Notebook 機能が自動適用されているものになります。日本の Azure リージョンでは、西日本リージョンが対象に含まれています。東日本リージョンについては、含まれておりません。
Microsoft / Wiz 社の発表では、この脆弱性による不正な顧客データへのアクセスは Wiz 社のセキュリティ研究者以外では利用された形跡はないとしています。
ただし、Microsoft 社もこの機能の欠陥によって読み取り/書き込み用のプライマリキー情報が流出したことによる顧客データ流出はないものの、下記の公式情報を参考にキーの再生成を行ってください、とのことです。キー情報が流出してしまった可能性もゼロではないからと思われます。
読み取り/書き込み用プライマリキーの再生成方法
公式では、キーのローテーション機能で対応可能とのことです。
2021/8/28 時点で、英語版と日本語版とでは情報の更新差分があるようですので、可能な方は英語版の公式ドキュメントを参照していただければと思います。(ブラウザの翻訳機能を活用すれば読み取りは可能と思います)
■英語版ドキュメント
■日本語版ドキュメント
他にも、Azure CLI に az cosmosdb regenerate-key コマンドが用意されています。こちらのコマンドを使用して、読み取り/書き込みのプライマリのキーを再生成することも可能です。
Microsoft 公式発表
今回の脆弱性の内容、および対処方法、その他について案内されています。
Microsoft 社からメールが送信された人は対応が必要の模様
この脆弱性については、Microsoft 社で報告が行われた後に調査が行われ、調査期間中に影響を受けたと思われる顧客に対しては、以下のようなメールが送信されている模様です。
今回の脆弱性の詳細について
Wiz により公開される予定になっていますので、興味がある方はこちらのサイトをウォッチしておいてください。
Discussion