'Kwetsbaarheid Azure Cosmos DB is theoretisch'

cybersecurity

De impact van het recent ontdekte beveiligingslek in Microsoft Azure-database Cosmos DB is waarschijnlijk beperkt. Het is vooral een theoretische kwetsbaarheid, vertelt Maarten Goet. Hij is cto en directeur cyber security bij Azure-specialist Wortell.

Een Israëlisch it-beveiligingsbedrijf ontdekte op 9 augustus dat je via visualisatietool Jupyter Notebook de primary keys van Cosmos DB-databases kunt achterhalen. Zo'n key is een reeks waarden die elk record in een databank uniek maakt. Met de primary keys is het voor kwaadwillenden mogelijk om de inhoud van databases van anderen te manipuleren. Inmiddels is de dreiging tijdelijk verholpen.

Maarten Goet vertelt dat Wortell diverse klanten heeft die gebruikmaken van Cosmos DB. Zodra het beveiligingslek bekend werd, heeft zijn bedrijf die klanten benaderd. Ook checkte het it-securityteam van de Azure-specialist of er sporen van misbruik waren. Dit was niet het geval.

Goet is ervan overtuigd dat het percentage daadwerkelijk geraakte Cosmos DB-gebruikers 'heel, heel klein' is. 'Het is vooral een theoretisch kwetsbaarheid die door een beveiligingsbedrijf is ontdekt en heel snel door Microsoft is aangepakt.'

Populaire database

"Het lastige is dat zo'n sleutel wordt gebruikt door applicaties die toegang tot je database nodig hebben"

De keys zijn nodig om vast te stellen dat jij toegang tot de data in de database mag hebben, legt Goet uit. Het gaat daarbij voornamelijk om toegang vanuit andere applicaties, in het geval van Cosmos DB toepassingen die in Microsoft Azure draaien. Cosmos DB is namelijk specifiek voor dit cloudplatform ontwikkeld. Het is volgens Goet een populaire database, doordat hij heel flexibel en schaalbaar is, precies wat je nodig hebt bij cloud computing. De technisch directeur van Wortell ziet dat vooral innovatieve organisaties Cosmos DB inzetten voor saas-toepassingen.

Microsoft adviseert gebruikers van Cosmos DB om nieuwe primary keys aan te maken. Op zich is dat niet moeilijk, zegt Goet. 'Eén druk op de knop en je hebt een nieuwe key. Het lastige is dat zo'n sleutel wordt gebruikt door applicaties die toegang tot je database nodig hebben. Je zult dus moeten achterhalen welke toepassing de key gebruikt, anders werkt het niet meer. Je kunt er, in verband met het acute beveiligingsrisico, ook voor kiezen om de key snel te veranderen en af te wachten waar zich foutmeldingen voordoen.'

Jupyter Notebook

Het beveiligingslek van Cosmos DB is benaderbaar via visualisatietoepassing Jupyter Notebook. 'Jupyter is populair voor dashboarding', legt Goet uit. 'Het is een geavanceerde tool die bijvoorbeeld door datascientists wordt gebruikt. Je kunt ermee code combineren met gegevens uit je database. Via het lek kon je dus ook bij data van andere Jupyter Notebook-gebruikers komen.' De bewuste functionaliteit is binnen 48 uur na de eerste melding uitgeschakeld.

Er zijn de laatste tijd diverse beveiligingsproblemen bij Microsoft-producten wereldkundig gemaakt. Volgens Goet komt dit vooral door de maximale transparantie die de fabrikant nastreeft. 'Ze hebben een heldere code of conduct. Ze willen juist aan klanten laten zien als dingen niet goed gaan, hoe ze deze oplossen. Dat zie je bij de meeste andere leveranciers, zoals Amazon Web Services en Google, veel minder.'

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-08-27T17:30:00.000Z Diederik Toet
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.