Saltar al contenido
computerg

🥇 CISA Insta A Todos Los Usuarios De Microsoft Cosmos DB A Actualizar Las Contraseñas Ahora

agosto 30, 2021


La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) insta a todos los usuarios del servicio de base de datos Azure Cosmos DB de Microsoft a regenerar sus claves de certificado, luego del descubrimiento de una falla de seguridad grave que podría ceder el control de las bases de datos otorgadas a personas no autorizadas.

La falla de Cosmos DB fue descubierta por la empresa de seguridad de infraestructura en la nube Wiz, que pudo explotar una vulnerabilidad en la implementación de Jupyter Notebook del servicio, que permitía a los atacantes acceder a claves primarias en la base de datos y otros secretos muy sensibles como su token de acceso de almacenamiento de blobs. .

Después de ser notificado, Microsoft desactivó rápidamente Jupyter y envió un correo electrónico a algunos de sus usuarios para que rotaran sus claves. El CISA, sin embargo, sugiere que todo Cosmos DB siga esta medida de precaución.

¡LaComparacion te necesita!

Echamos un vistazo a cómo nuestros lectores están usando VPN con sitios de transmisión como Netflix para que podamos mejorar nuestro contenido y ofrecer mejores consejos. Esta encuesta no le tomará más de 60 segundos de su tiempo y le agradeceríamos mucho que compartiera sus experiencias con nosotros.

Haga clic aquí para lanzar la encuesta en una nueva ventana

«Aunque la configuración incorrecta parece haberse solucionado en la nube de Azure, CISA recomienda encarecidamente a los clientes de Azure Cosmos DB que generen y regeneren sus claves de certificado y consulten la guía de Microsoft sobre cómo proteger el acceso a los datos en Azure. Cosmos DB», señala CISA en su consultivo.

No lo tomes a la ligera

Según los investigadores de Wiz, la falla proporcionaría a los actores de amenazas todo lo que necesitan para acceder y ejercer un control total de lectura / escritura / eliminación sobre la base de datos de Internet.

En una publicación de blog, Microsoft dijo que su investigación indicó que «no se han visto datos de clientes debido a esta vulnerabilidad», y agregó que han notificado a los clientes cuyas claves pueden haber sido afectadas por los investigadores.

Sin embargo, los investigadores de Wiz se pusieron del lado de la directiva CISA que extendió el aviso a todos los usuarios de Cosmos DB, ya que es difícil evaluar el verdadero impacto de la vulnerabilidad.

«En mi opinión, es realmente difícil para ellos, si no imposible, descartar por completo que alguien lo haya usado antes», dijo a Reuters Ami Luttwak, CTO de Wiz.

Vía Reuters


Source link