Microsoft Security Response Centerin (MSRC) ja Orca Securityn tutkijat käsittelivät tällä viikolla Microsoft Azure Cosmos DB:n kriittistä haavoittuvuutta, joka vaikuttaa sen Cosmos DB Jupyter Notebooks -ominaisuuteen. Etäkoodin suoritusvirhe (RCE) antaa kuvan siitä, kuinka hyökkääjät voivat hyödyntää pilvipohjaisten ja koneoppimisystävällisten ympäristöjen todennusarkkitehtuurin heikkouksia.
Orcan tutkimustiimin nimeämä CosMiss-haavoittuvuus tiivistyy valtuutusotsikoiden käsittelyn virheelliseen määritykseen, jonka ansiosta todentamattomat käyttäjät voivat saada luku- ja kirjoitusoikeudet Azure Cosmos DB -muistikirjoihin sekä lisätä ja korvata koodia.
Lyhyesti sanottuna, jos hyökkääjä olisi tiennyt Notebookin 'forwardingId':stä, joka on Notebook Workspacen UUID, hänellä olisi ollut täydet oikeudet Notebookiin, mukaan lukien luku- ja kirjoitusoikeudet sekä mahdollisuus muokata muistikirjan tiedostojärjestelmää. muistikirjaa käyttävä kontti", kirjoittivat Lidor Ben Shitrit ja Roee Sagi Orcan julkaisussa tekninen romahdus haavoittuvuudesta. "Muokkaamalla säilötiedostojärjestelmää – eli omistettua työtilaa väliaikaista muistikirjan isännöintiä varten – pystyimme saamaan RCE:n muistikirjan säilöön."
Hajautettu NoSQL-tietokanta, Azure Cosmos DB on suunniteltu tukemaan skaalautuvia, tehokkaita sovelluksia korkealla käytettävyydellä ja alhaisella viiveellä. Sen käyttötarkoituksia ovat IoT-laitteiden telemetria ja analytiikka; reaaliaikaiset vähittäismyyntipalvelut, joiden avulla voit ajaa esimerkiksi tuoteluetteloita ja tekoälyyn perustuvia henkilökohtaisia suosituksia; ja maailmanlaajuisesti hajautetut sovellukset, kuten suoratoistopalvelut, nouto- ja toimituspalvelut ja vastaavat.
Sillä välin Jupyter Notebooks on avoimen lähdekoodin interaktiivinen kehittäjäympäristö (IDE), jota kehittäjät, datatieteilijät, insinöörit ja yritysanalyytikot käyttävät kaiken tiedon tutkimisesta ja puhdistamisesta tilastolliseen mallintamiseen, tietojen visualisointiin ja koneoppimiseen. Se on tehokas ympäristö, joka on suunniteltu luomaan, suorittamaan ja jakamaan asiakirjoja, joissa on elävää koodia, yhtälöitä, visualisointeja ja kerrottavaa tekstiä.
Orcan tutkijat sanovat, että tämä toiminto tekee Cosmos DB Notebooksin autentikointivirheestä erityisen riskialtista, koska "kehittäjät käyttävät niitä koodin luomiseen ja sisältävät usein erittäin arkaluontoista tietoa, kuten salaisuuksia ja yksityisiä avaimia, jotka on upotettu koodiin".
Virhe otettiin käyttöön loppukesällä, Orca löysi ja ilmoitti Microsoftille lokakuun alussa ja korjattiin kahdessa päivässä. Korjauksen käyttöönotto ei vaatinut asiakkailta mitään toimia Cosmos DB:n hajautetun arkkitehtuurin vuoksi.
Ei ensimmäinen Cosmosista löydetty haavoittuvuus
Jupyter Notebookien sisäänrakennettu integrointi Azure Cosmos DB:hen on edelleen ominaisuus esikatselutilassa, mutta tämä ei todellakaan ole ensimmäinen siitä löydetty virhe. Viime vuoden tutkijat Wiz.io:lla löysi ominaisuuden virheketju, joka antoi kenelle tahansa Azure-käyttäjälle täyden järjestelmänvalvojan pääsyn muiden asiakkaiden Cosmos DB -esiintymiin ilman lupaa. Tuolloin tutkijat ilmoittivat, että suurilla brändeillä, kuten Coca-Cola, Kohler, Rolls-Royce, Siemens ja Symantec, kaikilla oli tietokantaavaimet esillä.
Tämän viimeisimmän virheen riskit ja vaikutukset ovat kiistatta rajallisemmat kuin edellinen johtuen useista MSRC:n tiistaina julkaistussa blogissa esittämistä tekijöistä.
MSRC-blogin mukaan hyödynnettävä bugi oli paljastunut noin kahden kuukauden ajan sen jälkeen, kun tämän kesän päivitys taustasovellusliittymään johti siihen, että pyyntöjä ei todennettu oikein. Hyvä uutinen on, että turvallisuustiimi suoritti perusteellisen tutkimuksen toiminnan eikä löytänyt merkkejä siitä, että hyökkääjät olisivat käyttäneet virhettä tuolloin.
"Microsoft tutki lokitietoja elokuun 12. ja 6. lokakuuta välisenä aikana eikä löytänyt mitään raa'an voiman pyyntöjä, jotka osoittaisivat haitallista toimintaa." kirjoitti MSRC:n tiedottaja, joka totesi myös, että 99.8 % Azure Cosmos DB -asiakkaista ei vielä käytä Jupyter-kannettavia.
Riskiä pienentää edelleen se, että Orcan proof-of-conceptissa käytetyn forwardingId:n käyttöikä on erittäin lyhyt. Muistikirjoja ajetaan väliaikaisessa muistikirjatyötilassa, jonka käyttöikä on enintään yksi tunti, minkä jälkeen kaikki kyseisen työtilan tiedot poistetaan.
"Mahdolliset vaikutukset rajoittuvat uhrin muistikirjojen luku-/kirjoitusoikeuksiin sinä aikana, kun hänen väliaikaisten muistikirjojen työtila on aktiivinen", Microsoft selitti. "Haavoittuvuus ei antanut mahdollisuutta suorittaa muistikirjoja, automaattisesti tallentaa muistikirjoja uhrin (valinnainen) yhdistettyyn GitHub-tietovarastoon tai pääsyä Azure Cosmos DB -tilin tietoihin, vaikka olisikin tiedossa forwardingId."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
