Cómo MVISION CNAPP ayuda a protegerse contra ChaosDB


Los atacantes han hecho saber que Microsoft está claramente en la mira cuando se trata de posibles objetivos. El mes pasado, el Departamento de Justicia de EE. UU. Reveló que Solorigate continúa siendo un elemento de seguridad cuando confirmaron que más del 80% de las cuentas de correo electrónico de Microsoft fueron violadas en cuatro fiscalías federales diferentes. En agosto, Microsoft lanzó otro parche de seguridad (el segundo de dos) para Imprimir Pesadilla, que permite a los atacantes remotos escalar el nivel del sistema de todos los clientes y servidores de Home windows. Dado que Microsoft todavía tiene la participación de mercado dominante para sistemas operativos de escritorio, servicios de correo electrónico / oficina, junto con la segunda participación de mercado más grande en computación en la nube, cualquier vulnerabilidad de seguridad encontrada dentro del ecosistema de Microsoft tiene efectos en cascada en todos los ámbitos.

En base a esto, queríamos que nuestros clientes conocieran nuestra respuesta a la última vulnerabilidad de seguridad de Microsoft. El 12 de agosto, Microsoft confirmó una vulnerabilidad de seguridad denominada ChaosDB mediante el cual los atacantes pueden descargar, eliminar o modificar todos los datos almacenados en el Azure Cosmos DB Servicio. En respuesta a la vulnerabilidad, Microsoft ha desactivado desde entonces la característica que puede ser explotada y notificados a los clientes potencialmente afectados. Sin embargo, según el equipo de investigación que identificó la vulnerabilidad, creen que el número genuine de clientes afectados es mucho más alto y tiene el potencial de exponer a miles de empresas que se remontan a 2019.

Cosmos DB es el servicio de base de datos NoSQL totalmente administrado de Microsoft alojado en Azure que cuenta con clientes como Mars, Mercedes Benz y Chipotle. La vulnerabilidad de ChaosDB afecta a los clientes que utilizan el Función Jupyter Notebook. Esta función incorporada permite a los clientes compartir visualizaciones de datos y texto narrativo basado en los datos almacenados en Cosmos DB. Desafortunadamente, la función Jupyter Notebook se ha habilitado de forma predeterminada para los clientes desde febrero de 2021, y solucionar la vulnerabilidad no es una tarea fácil. Debido a que la vulnerabilidad expone claves públicas que pueden usarse para acceder a otras bases de datos de Cosmos, la resolución requiere que los clientes rotar manualmente sus claves primarias de Cosmos DB , Que suelen ser claves de larga duración y se utilizan en varios servicios o aplicaciones.

Para los clientes que utilizan Cosmos DB, recomendamos encarecidamente seguir las instrucciones de Microsoft y rotar sus llaves, pero también reconocemos que el negocio no puede detenerse y, a menos que haya automatizado la rotación de claves, esa tarea puede llevar tiempo y coordinación entre varios equipos. Este web site ayudará a brindar asistencia sobre cómo uno de nuestros servicios más nuevos puede ayudar a identificar y mitigar ChaosDB.

MVISION Cloud Native Software Safety System (CNAPP) es un nuevo servicio que lanzamos este año que brinda visibilidad y seguridad completas a los servicios y aplicaciones construidos sobre las soluciones nativas de la nube. MVISION CNAPP ayuda a los clientes a proteger la plataforma subyacente como Amazon Website Solutions (AWS), Microsoft Azure y Google Cloud que se utilizan para crear aplicaciones, pero también proporciona protección completa en tiempo de ejecución y compilación para aplicaciones que utilizan máquinas virtuales, Docker y Kubernetes.

Como parte de este servicio, MVISION CNAPP tiene una función llamada creador de políticas personalizadas. El creador de políticas personalizadas es una excelente manera para que los clientes auditen los servicios en todo su entorno de nube en tiempo true para identificar configuraciones de riesgo, pero también se puede utilizar para seleccionar una política específica para el entorno único del cliente en función de varias propiedades de la API.

¿Cómo funciona el creador de políticas personalizadas? Una vez que MVISION CNAPP está conectado a la cuenta de AWS, Azure o GCP de un cliente, el creador de políticas personalizadas enumerará todos los servicios admitidos dentro de cada plataforma en la nube. Junto con todos los servicios admitidos, el creador de políticas personalizadas también enumerará todos los atributos de API disponibles para cada uno de esos servicios, atributos que los clientes pueden usar como desencadenantes para crear incidentes de seguridad y respuestas automáticas. Un buen ejemplo de la capacidad sería «si MVISION CNAPP identifica un bucket de Amazon S3 público, realiza un escaneo en los objetos del bucket para identificar cualquier dato smart y alerta a los equipos a través de una notificación de SNS». Cuando surgen nuevas vulnerabilidades como ChaosDB, el creador de políticas personalizadas está diseñado específicamente para ayudar a los clientes a identificar y comprender su riesgo de cualquier cosa nueva.

Entonces, ¿cómo puede ayudar CNAPP a identificar si está en riesgo de contraer ChaosDB? Esencialmente, querrá responder tres preguntas para comprender su riesgo:

  • ¿Estamos usando Cosmos DB?
  • Si es así, ¿nuestras bases de datos de Cosmos tienen acceso sin restricciones?
  • Si un atacante tuviera acceso a nuestras claves de Cosmos DB, ¿qué nivel de acceso tendría con esas claves?

Para encontrar respuestas a estas preguntas, mostraré cómo puede crear varias políticas personalizadas utilizando el creador de políticas personalizadas MVISION CNAPP, pero puede combinar y mezclar estas reglas según sus necesidades.

En el primer ejemplo, responderé las dos primeras preguntas para ver si estamos ejecutando Cosmos DB y si el servicio tiene acceso a la red sin restricciones. En el menú MVISION CNAPP, haré clic en Política | Auditoría de configuración | Comportamiento | Crear política. A partir de ahí, le daré un nombre a mi póliza y seleccionaré Microsoft Azure | próximo. El generador de políticas personalizadas rellenará automáticamente todos los servicios disponibles en Azure cuando haga clic en Seleccione el tipo de recurso. Seleccione Azure Cosmos DB y el creador de políticas personalizadas ahora me mostrará todos los atributos de API disponibles para ese servicio. Empiece a escribir para la cadena de attributes.publicNetworkAccess con una declaración de es igual a habilitado con un nivel de gravedad que asigne. Haga clic en Probar regla y el creador de políticas personalizadas verificará si está ejecutando algún Cosmos DB que permita el acceso desde cualquier fuente..

Figura 1: Captura de pantalla del Creador de políticas personalizadas

Si los resultados de la política personalizada muestran algún incidente en el que Cosmos DB tiene acceso sin restricciones, querrá cambiar inmediatamente esa configuración al Configuración de un firewall de IP en Azure Cosmos DB.

Ahora veamos si tenemos bases de datos de Cosmos en las que no hayamos establecido reglas de firewall. Estas reglas pueden basarse en un conjunto de direcciones IP o puntos finales privados y deberían haberse establecido cuando creó las bases de datos, pero confirmemos. Seguirá los mismos pasos que antes, pero seleccionará los siguientes criterios para la política utilizando declaraciones AND:

  • ipRangeFilter es igual a no establecido
  • virtualNetworksRules no está configurado
  • privateEndpointConnections no está establecido

Figura 2: Captura de pantalla 2 del Creador de políticas personalizadas

Si ve algún resultado de la política personalizada, querrá revisar la dirección IP y los puntos finales para asegurarse de que está familiarizado con el acceso desde esas fuentes. Si no está familiarizado con esas fuentes o las fuentes son demasiado amplias, siga Configuración de un firewall de IP en Azure Cosmos DB para realizar los cambios necesarios.

Finalmente, mostremos cómo MVISION CNAPP puede auditar para ver qué es posible si sus claves estuvieran expuestas. En normal, las claves de la base de datos se envían a las aplicaciones para que puedan acceder a los datos. Rara vez emitiría claves para realizar cambios de configuración o escribir cambios en los servicios de su base de datos. Si otorgó claves que pueden realizar cambios, es posible que haya emitido una clave demasiado permisiva. Eventualmente, querrá volver a generar esas claves, pero mientras tanto, identifiquemos si las claves pueden realizar cambios de escritura.

Seguiremos el mismo procedimiento que antes, pero usaremos el houses.disableKeyBasedMetadataWriteAccess es igual a falso

Figura 3: Captura de pantalla 3 del Creador de políticas personalizadas

Al igual que en los ejemplos anteriores, si encuentra algún resultado aquí que muestre que ha emitido claves que pueden realizar cambios de escritura, querrá deshabilitar la función siguiendo Deshabilitar el acceso de escritura de metadatos basados ​​en claves.

Nuestro creador de políticas personalizadas es solo una de las muchas funciones que hemos introducido con MVISION CNAPP. Te invito a comprobar la solución visitando http://mcafee.com/CNAPP para obtener más información o solicitar una demostración en https://mcafee.com/demo.





Enlace a la noticia first