"הפגיעות החמורה ביותר שניתן לדמיין" התגלתה בענן של מיקרוסופט

פגיעות חמורה התגלתה בשירותי בסיס הנתונים המנוהל Cosmos DB, המהווה חלק מתשתית הענן של מיקרוסופט – כך חשפה לפני ימים אחדים ספקית אבטחת הענן Wiz.

החוקרים מצאו שנקודת תורפה בשירות הנתונים המנוהל עלולה להעניק גישת קריאה, או כתיבה, לכל מסד נתונים בשירות, עבור כל תוקף שמצא וניצל את הבאג. עמי ליטוואק, סמנכ"ל הטכנולוגיה של Wiz, אמר לעיתונות הטכנולוגית בארצות הברית כי "זו פגיעות הענן הגרועה ביותר שאפשר לדמיין… זהו מאגר הנתונים המרכזי של Azure, והצלחנו לקבל גישה לכל מאגר לקוחות שרצינו".

על אף שחוקרי Wiz מצאו את הפגיעות, שאותה הם כינו Chaos DB, לפני כשבועיים, בסטארט-אפ הישראלי אומרים שהיא "אורבת במערכת במשך לפחות כמה חודשים, ואולי אף שנים".

ההאקרים ניצלו פגיעות בתכונה שהוספה ב-2019

ב-2019 הוסיפה מיקרוסופט את Jupyter Notebook – פונקציונליות מבוססת קוד פתוח – לשירות של בסיס הנתונים קוסמוס. מדובר בדרך ידידותית במיוחד למשתמש ליישם אלגוריתמים של למידת מכונה. מיקרוסופט קידמה תכונה זו במיוחד, ככלי שימושי להדמיה מתקדמת של נתונים המאוחסנים בבסיס הנתונים קוסמוס. הפונקציונליות האמורה הופעלה באופן אוטומטי עבור כל מופעי קוסמוס בפברואר השנה, אולם חוקרי Wiz סבורים שהבאג המדובר ככל הנראה עתיק יותר, וייתכן שהוא הופיע כבר כאשר התכונה הראשונה הוטמעה בבסיס הנתונים קוסמוס ב-2019.

חוקרי האבטחה לא מסרו את כל הפרטים הטכניים לגבי הפגיעות, אך ציינו כי תצורה לא נכונה בתכונה Jupyter מאפשרת ניצול לרעה שלה, כדי לקבל גישה למפתחות הראשיים של לקוחות שעושים שימוש בבסיס הנתונים קוסמוס, ומשם לגנוב פרטים מסווגים אחרים של אותם לקוחות. מומחי אבטחה ציינו שניצול הפגיעות משמעו "המשחק נגמר והרעים ניצחו" עבור כל קורבן למתקפה שכזו.

Wiz הוקמה על ידי אסף רפפורט, המשמש כמנכ"ל החברה, ינון קוסטיקה, סמנכ"ל המוצרים, רועי רזניק, סמנכ"ל המחקר והפיתוח, וליטוואק. החברה עוסקת באבטחת ענן. לא מדובר בחברה הראשונה שהארבעה הקימו: ב-2015 הם מכרו את החברה הקודמת שייסדו, אדאלום, למיקרוסופט בכ-320 מיליון דולר. לאחר אקזיט הענק הארבעה עבדו בענקית מרדמונד, ורפפורט שימש כמנהל מרכז הפיתוח שלה בישראל. בשנה שעברה הם הקימו את Wiz, ששוויה – לאחר כשנה וחצי בלבד של פעילות – מתקרב לשני מיליארד דולר.

על פי Wiz, מיקרוסופט שלחה מייל ובו התריעה על הפגיעות שנחשפה רק לכ-30% מלקוחות שירות קוסמוס. היא הזהירה שיש לטפל במפתח הראשי שלהם באופן ידני, על מנת לוודא שהתוקפים לא יכולים להשתמש בכל המפתחות שכבר דלפו אליהם ונמצאים ברשותם.

ממיקרוסופט נמסר כי "החברה השביתה את הפגיעות של קוסמוס לפני שבועיים – פחות מ-48 שעות לאחר ש-Wiz דיווחה על כך באופן פרטי. למרבה הצער, מיקרוסופט לא יכולה לשנות את המפתחות העיקריים של לקוחותיה והאחריות על כך מוטלת עליהם". עוד ציינו בענקית מרדמונד כי "אין הוכחה לכך ששחקנים זדוניים מצאו וניצלו את הפגיעות שקיימת בקוסמוס לפני הגילוי של Wiz". מיקרוסופט שילמה ל-Wiz בגין חשיפת הפגיעות סכום של 40 אלף דולר.