Microsoft Security Response Centeri (MSRC) ja Orca Security teadlased tõmbasid sel nädalal kaaned tagasi Microsoft Azure Cosmos DB kriitilisele haavatavusele, mis mõjutab selle Cosmos DB Jupyteri sülearvutite funktsiooni. Koodi kaugkäitamise (RCE) viga annab ülevaate sellest, kuidas ründajad võivad pilvepõhiste ja masinõppesõbralike keskkondade autentimisarhitektuuri nõrkusi kasutada.
Orca uurimismeeskonna poolt CosMissiks nimetatud haavatavus taandub volituste päiste haldamise valesti seadistamisele, mis võimaldab autentimata kasutajatel saada lugemis- ja kirjutamisjuurdepääsu Azure Cosmos DB sülearvutitele ning koodi sisestada ja üle kirjutada.
Lühidalt, kui ründajal oleks teadmine sülearvuti edasisaatmise ID-st, mis on märkmiku tööruumi UUID, oleksid tal olnud sülearvutile täielikud õigused, sealhulgas lugemis- ja kirjutamisjuurdepääs ning võimalus muuta sülearvuti failisüsteemi. märkmikut kasutav konteiner,” kirjutasid Lidor Ben Shitrit ja Roee Sagi Orcast a tehniline allakäik haavatavusest. "Muutades konteineri failisüsteemi (teise nimega sülearvuti ajutise hostimise jaoks spetsiaalset tööruumi), saime sülearvuti konteinerisse hankida RCE."
Hajutatud NoSQL-i andmebaas Azure Cosmos DB on loodud skaleeritavate suure jõudlusega rakenduste toetamiseks, millel on kõrge kättesaadavus ja madal latentsusaeg. Selle kasutusaladeks on asjade Interneti-seadmete telemeetria ja analüütika; reaalajas jaemüügiteenused selliste asjade käitamiseks nagu tootekataloogid ja AI-põhised isikupärastatud soovitused; ja ülemaailmselt levitatud rakendused, nagu voogedastusteenused, pealevõtu- ja kohaletoimetamisteenused jms.
Vahepeal on Jupyter Notebooks avatud lähtekoodiga interaktiivne arendajakeskkond (IDE), mida kasutavad arendajad, andmeteadlased, insenerid ja ärianalüütikud, et teha kõike alates andmete uurimisest ja puhastamisest kuni statistilise modelleerimise, andmete visualiseerimise ja masinõppeni. See on võimas keskkond, mis on loodud reaalajas koodi, võrrandite, visualiseeringute ja jutustava tekstiga dokumentide loomiseks, täitmiseks ja jagamiseks.
Orca teadlased väidavad, et see funktsioon muudab Cosmos DB sülearvutite autentimise vea eriti riskantseks, kuna arendajad kasutavad neid koodi loomiseks ja need sisaldavad sageli väga tundlikku teavet, nagu koodi sisse manustatud saladused ja privaatvõtmed.
Viga võeti kasutusele suve lõpus, Orca leidis ja avalikustas Microsoftile oktoobri alguses ning parandati kahe päeva jooksul. Plaaster ei nõudnud Cosmos DB hajutatud arhitektuuri tõttu klientidelt mingeid tegevusi.
Pole esimene Kosmosest leitud haavatavus
Jupyteri sülearvutite sisseehitatud integreerimine Azure Cosmos DB-sse on endiselt eelvaaterežiimis funktsioon, kuid see pole kindlasti esimene selles leitud viga. Eelmise aasta teadlased Wiz.io-ga avastasin funktsiooni vigade ahel, mis andis igale Azure'i kasutajale täieliku administraatorijuurdepääsu teiste klientide Cosmos DB eksemplaridele ilma loata. Sel ajal teatasid teadlased, et suurtel kaubamärkidel nagu Coca-Cola, Kohler, Rolls-Royce, Siemens ja Symantec olid andmebaasivõtmed avatud.
Selle viimase vea risk ja mõju on vaieldamatult piiratumad kui eelmine, kuna MSRC on teisipäeval avaldatud ajaveebis välja toodud mitmete tegurite tõttu.
MSRC ajaveebi andmetel oli kasutatav viga paljastatud ligikaudu kaks kuud pärast seda, kui taustarakenduse API-s sel suvel värskendati, mille tulemusel taotlusi ei autentitud õigesti. Hea uudis on see, et turvameeskond uuris tegevust põhjalikult ja ei leidnud sel ajal märke sellest, et ründajad oleks seda viga kasutanud.
"Microsoft viis 12. augustist 6. oktoobrini läbi logiandmete uurimise ega tuvastanud ühtegi jõhkra jõu taotlust, mis viitaks pahatahtlikule tegevusele," kirjutas MSRC pressiesindaja, kes märkis ka, et 99.8% Azure Cosmos DB klientidest ei kasuta veel Jupyteri sülearvuteid.
Riski leevendab veelgi asjaolu, et Orca kontseptsiooni tõestuses kasutatud edastamise ID on väga lühikese elueaga. Märkmeid käitatakse ajutises märkmiku tööruumis, mille maksimaalne kasutusiga on üks tund, pärast mida kustutatakse kõik selle tööruumi andmed.
"Võimalik mõju piirdub ohvri sülearvutite lugemis-/kirjutusjuurdepääsuga ajal, mil nende ajutiste sülearvutite tööruum on aktiivne," selgitas Microsoft. „Haavatavus ei võimaldanud isegi edasisuunamise ID-d teades käivitada märkmikke, automaatselt salvestada märkmikke ohvri (valikuline) ühendatud GitHubi hoidlasse ega juurdepääsu andmetele Azure Cosmos DB kontol.”
