Aunque aparentemente no ha sido explotada, la vulnerabilidad de Azure Cosmos ha estado abierta durante dos años.

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Departamento de Seguridad Nacional de Estados Unidos insta a los clientes de servicios cloud de Microsoft a restablecer sus claves de seguridad tras una reciente vulnerabilidad que podría haber expuesto los datos de los clientes.

El fallo, descubierto por investigadores de Wiz, habría permitido a cualquier cliente que utilizara la base de datos Azure Cosmos de Microsoft leer, escribir y eliminar la información de otro usuario sin autorización. La base de datos Cosmos es utilizada por miles de organizaciones en todo el mundo.

“Aunque la configuración errónea parece haberse solucionado dentro de la nube de Azure, CISA recomienda encarecidamente a los clientes de Azure Cosmos DB que renueven y regeneren sus claves de certificado y que revisen la guía de Microsoft sobre cómo asegurar el acceso a los datos en Azure Cosmos DB”, escribió CISA en una alerta publicada el viernes.

Por su parte, Microsoft informó el mismo día en su blog haber contactado a los clientes que tenían activada la función Azure Cosmos que contenía la vulnerabilidad. “No hay pruebas de que personas ajenas a la empresa hayan accedido a los datos de los clientes”, dijo la compañía.

Sin embargo, los investigadores de Wiz dicen que la vulnerabilidad ha sido explotable durante aproximadamente dos años, lo que significa que muchos más clientes podrían haber estado expuestos. “Todos los clientes de Cosmos DB deberían asumir que han sido expuestos”, escribieron los investigadores de Wiz.