Обнаружена серьезная уязвимость в Azure

Cloud Networks > Новости > Обнаружена серьезная уязвимость в Azure
27.09.2021

Обнаружена серьезная уязвимость в Azure

Производитель облачной безопасности Wiz, обнаружил серьезную уязвимость в службе базы данных Microsoft Azure, управляемой CosmosDB, а также уязвимость безопасности в Azure, затрагивающую виртуальные машины Linux. Пользователи могут получить малоизвестную службу под названием OMI, установленную в качестве побочного продукта включения любого из нескольких вариантов создания отчетов или управления журналами в пользовательском интерфейсе Azure.

В худшем случае уязвимость в OMI может быть использована для удаленного выполнения корневого кода. Хотя во многих случаях брандмауэр Azure, установленный по умолчанию за пределами виртуальной машины, ограничивает его доступ только к внутренним сетям большинства клиентов.

Тревор Морган, менеджер по продукции Comforte AG, прокомментировал уязвимость:

«Чтобы противостоять уязвимостям, вам нужно выйти далеко за рамки базовой безопасности на основе периметра при перемещении рабочих процессов и конфиденциальных данных в ваших облачных средах.

Вы должны сосредоточиться на защите самих данных. Безопасность, ориентированная на данные, такая как токенизация и шифрование с сохранением формата, может заменить конфиденциальные элементы данных безопасными репрезентативными токенами. Таким образом, даже если нарушения периметра или уязвимости приводят к тому, что не те люди получают ваши корпоративные данные в облаке, конфиденциальная информация по-прежнему остается полностью защищенной и не может быть использована злоумышленниками для получения финансовой выгоды.

Помните, что регулирующие органы не будут привлекать к ответственности вашего поставщика облачных услуг в случае раскрытия конфиденциальных данных людей. Они будут ждать, что вы и ваша организация ответите за это».

Джордж Папамаргаритис, директор MSS Obrela Security Industries, дал следующие советы по исправлению ситуации:

«Система не проверяет или неправильно проверяет входные данные, чтобы безопасно использовать их для внутренних приложений и рабочих процессов. Это может произойти из-за слабого архитектурного проекта или из-за неуспешного выполнения каких-либо тестов для выявления проблемы на этапе реализации.

В результате любое использование может повлиять на доступность услуги, конфиденциальность или целостность. Брандмауэр Azure, установленный по умолчанию за пределами виртуальной машины, ограничит его доступ только к внутренним сетям большинства клиентов.

Возможные меры по смягчению последствий:

  • Применение тактики безопасного кода при проектировании архитектуры, особенно в проектах с открытым исходным кодом.

  • Более строгий контроль качества реализации, особенно при повторном использовании компонентов с открытым исходным кодом.

  • Частые оценки уязвимостей (сканирование веб-сайтов и баз данных, проверка исходного кода).

  • Применение методов обнаружения.»

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
to-top