Forskere med Microsoft Security Response Center (MSRC) og Orca Security trak forsiden tilbage i denne uge på en kritisk sårbarhed i Microsoft Azure Cosmos DB, der påvirker dets Cosmos DB Jupyter Notebooks-funktion. Fejlen til fjernudførelse af kode (RCE) giver et portræt af, hvordan svagheder i godkendelsesarkitekturen i cloud-native og maskinlæringsvenlige miljøer kan bruges af angribere.
Døbt CosMiss af Orcas forskerhold, koger sårbarheden ned til en fejlkonfiguration i, hvordan autorisationsheadere håndteres, som lader uautentificerede brugere få læse- og skriveadgang til Azure Cosmos DB Notebooks og injicere og overskrive kode.
"Kort sagt, hvis en angriber havde kendskab til en Notebooks 'forwardingId', som er UUID'et for Notebook Workspace, ville de have haft fulde tilladelser på Notebook'en, inklusive læse- og skriveadgang, og muligheden for at ændre filsystemet i containeren, der kører notesbogen,” skrev Lidor Ben Shitrit og Roee Sagi fra Orca i en teknisk nedslidning af sårbarheden. "Ved at ændre containerfilsystemet - også kaldet dedikeret arbejdsområde til midlertidig notebookhosting - var vi i stand til at opnå RCE i notebookcontaineren."
Azure Cosmos DB, en distribueret NoSQL-database, er designet til at understøtte skalerbare, højtydende apps med høj tilgængelighed og lav latenstid. Blandt dets anvendelser er til IoT-enhedstelemetri og analyse; detailtjenester i realtid til at køre ting som produktkataloger og AI-drevne personlige anbefalinger; og globalt distribuerede applikationer såsom streamingtjenester, afhentnings- og leveringstjenester og lignende.
I mellemtiden er Jupyter Notebooks et open source interaktivt udviklermiljø (IDE), der bruges af udviklere, dataforskere, ingeniører og forretningsanalytikere til at udføre alt fra dataudforskning og datarensning til statistisk modellering, datavisualisering og maskinlæring. Det er et kraftfuldt miljø bygget til at skabe, udføre og dele dokumenter med live-kode, ligninger, visualiseringer og fortællende tekst.
Orca-forskere siger, at denne funktionalitet gør en fejl i autentificeringen i Cosmos DB Notebooks særligt risikabelt, da de "bruges af udviklere til at skabe kode og ofte indeholder meget følsomme oplysninger såsom hemmeligheder og private nøgler indlejret i koden."
Fejlen blev introduceret i sensommeren, fundet og afsløret til Microsoft af Orca i begyndelsen af oktober og rettet inden for to dage. Patchen krævede ingen handling fra kunderne for at blive udrullet på grund af den distribuerede arkitektur i Cosmos DB.
Ikke den første sårbarhed fundet i Cosmos
Den indbyggede integration af Jupyter Notebooks i Azure Cosmos DB er stadig en funktion i preview-tilstand, men dette er bestemt ikke den første offentliggjorte fejl, der findes i den. Sidste års forskere med Wiz.io opdaget en kæde af fejl i funktionen, der gav enhver Azure-bruger fuld administratoradgang til andre kunders Cosmos DB-instanser uden autorisation. På det tidspunkt rapporterede forskere, at store mærker som Coca-Cola, Kohler, Rolls-Royce, Siemens og Symantec alle havde databasenøgler afsløret.
Risikoen og virkningerne af denne seneste fejl er uden tvivl mere begrænset i omfang end den foregående på grund af en række faktorer, MSRC, som blev beskrevet i en blog, der blev offentliggjort tirsdag.
Ifølge MSRC-bloggen blev den udnyttelige fejl afsløret i cirka to måneder, efter at en opdatering i sommers i en backend API resulterede i, at anmodninger ikke blev autentificeret korrekt. Den gode nyhed er, at sikkerhedsteamet gennemførte en grundig undersøgelse af aktiviteten og fandt ingen tegn på, at angribere udnyttede fejlen på det tidspunkt.
"Microsoft gennemførte en undersøgelse af logdata fra den 12. august til den 6. oktober og identificerede ikke nogen brute force-anmodninger, der kunne indikere ondsindet aktivitet," skrev en MSRC-talsmand, som også bemærkede, at 99.8 % af Azure Cosmos DB-kunder endnu ikke bruger Jupyter Notebooks.
En yderligere afbødning af risikoen er, at det forwardingId, der anvendes i Orca proof-of-concept, har en meget kort levetid. Notesbøger køres i et midlertidigt notesbogsarbejdsområde, der maksimalt har en levetid på en time, hvorefter alle data i det pågældende arbejdsområde slettes.
"Den potentielle påvirkning er begrænset til læse-/skriveadgang til ofrets notebooks i den tid, deres midlertidige notebooks arbejdsområde er aktivt," forklarede Microsoft. "Sårbarheden, selv med kendskab til forwardingId'et, gav ikke mulighed for at udføre notesbøger, automatisk gemme notesbøger i offerets (valgfri) tilsluttede GitHub-lager eller adgang til data i Azure Cosmos DB-kontoen."
