Une vulnérabilité critique dans Microsoft Azure Cosmos DB ouvre les blocs-notes Jupyter

Les chercheurs du Microsoft Security Response Center (MSRC) et d'Orca Security ont dévoilé cette semaine une vulnérabilité critique dans Microsoft Azure Cosmos DB qui affecte sa fonctionnalité Cosmos DB Jupyter Notebooks. Le bogue d'exécution de code à distance (RCE) fournit un portrait de la façon dont les faiblesses de l'architecture d'authentification des environnements cloud natifs et compatibles avec l'apprentissage automatique pourraient être utilisées par les attaquants.

Surnommée CosMiss par l'équipe de recherche d'Orca, la vulnérabilité se résume à une mauvaise configuration dans la façon dont les en-têtes d'autorisation sont gérés, ce qui permet aux utilisateurs non authentifiés d'accéder en lecture et en écriture aux blocs-notes Azure Cosmos DB, et d'injecter et d'écraser du code.

"En bref, si un attaquant avait connaissance du" forwardingId "d'un ordinateur portable, qui est l'UUID de l'espace de travail Notebook, il aurait eu toutes les autorisations sur l'ordinateur portable, y compris l'accès en lecture et en écriture, et la possibilité de modifier le système de fichiers de le conteneur exécutant le bloc-notes », ont écrit Lidor Ben Shitrit et Roee Sagi d'Orca dans un panne technique de la vulnérabilité. "En modifiant le système de fichiers du conteneur - c'est-à-dire un espace de travail dédié à l'hébergement temporaire des ordinateurs portables - nous avons pu obtenir RCE dans le conteneur des ordinateurs portables."

Base de données NoSQL distribuée, Azure Cosmos DB est conçue pour prendre en charge des applications évolutives et hautes performances avec une haute disponibilité et une faible latence. Parmi ses utilisations figurent la télémétrie et l'analyse des appareils IoT ; des services de vente au détail en temps réel pour exécuter des éléments tels que des catalogues de produits et des recommandations personnalisées basées sur l'IA ; et des applications mondialement distribuées telles que des services de diffusion en continu, des services de collecte et de livraison, etc.

En attendant, Jupyter Notebooks est un environnement de développement interactif (IDE) open source utilisé par les développeurs, les scientifiques des données, les ingénieurs et les analystes commerciaux pour tout faire, de l'exploration et du nettoyage des données à la modélisation statistique, la visualisation des données et l'apprentissage automatique. Il s'agit d'un environnement puissant conçu pour créer, exécuter et partager des documents avec du code en direct, des équations, des visualisations et du texte narratif.

Les chercheurs d'Orca affirment que cette fonctionnalité rend particulièrement risquée une faille d'authentification dans les ordinateurs portables Cosmos DB, car ils sont "utilisés par les développeurs pour créer du code et contiennent souvent des informations très sensibles telles que des secrets et des clés privées intégrées dans le code".

La faille a été introduite à la fin de l'été, découverte et divulguée à Microsoft par Orca début octobre, et corrigée en deux jours. Le correctif n'a nécessité aucune action de la part des clients pour son déploiement en raison de l'architecture distribuée de Cosmos DB.

Pas la première vulnérabilité trouvée dans Cosmos

L'intégration intégrée de Jupyter Notebooks dans Azure Cosmos DB est toujours une fonctionnalité en mode aperçu, mais ce n'est certainement pas la première faille publiée qui y est trouvée. Chercheurs de l'année dernière avec Wiz.io découvert une chaîne de failles dans la fonctionnalité qui donnait à tout utilisateur Azure un accès administrateur complet aux instances Cosmos DB d'autres clients sans autorisation. À l'époque, les chercheurs ont signalé que de grandes marques comme Coca-Cola, Kohler, Rolls-Royce, Siemens et Symantec avaient toutes des clés de base de données exposées.

Le risque et les impacts de cette dernière faille sont sans doute de portée plus limitée que la précédente en raison d'un certain nombre de facteurs exposés par MSRC dans un blog publié mardi. 

Selon le blog MSRC, le bogue exploitable a été exposé pendant environ deux mois après qu'une mise à jour cet été dans une API backend a entraîné une authentification incorrecte des demandes. La bonne nouvelle est que l'équipe de sécurité a mené une enquête approfondie sur l'activité et n'a trouvé aucun signe d'attaquants tirant parti de la faille à l'époque.

"Microsoft a mené une enquête sur les données de journal du 12 août au 6 octobre et n'a identifié aucune demande de force brute qui indiquerait une activité malveillante", a écrit un porte-parole du MSRC, qui a également noté que 99.8 % des clients Azure Cosmos DB n'utilisent pas encore Jupyter Notebooks.

Le fait que le forwardingId utilisé dans la preuve de concept Orca a une durée de vie très courte atténue davantage le risque. Les blocs-notes sont exécutés dans un espace de travail de bloc-notes temporaire qui a une durée de vie maximale d'une heure, après quoi toutes les données de cet espace de travail sont supprimées.

"L'impact potentiel est limité à l'accès en lecture/écriture des ordinateurs portables de la victime pendant que son espace de travail temporaire est actif", a expliqué Microsoft. "La vulnérabilité, même avec la connaissance de l'ID de transfert, ne permettait pas d'exécuter des blocs-notes, d'enregistrer automatiquement des blocs-notes dans le référentiel GitHub connecté (facultatif) de la victime ou d'accéder aux données du compte Azure Cosmos DB."