Microsoft सुरक्षा प्रतिक्रिया केंद्र (MSRC) और Orca Security के शोधकर्ताओं ने इस सप्ताह Microsoft Azure Cosmos DB में एक महत्वपूर्ण भेद्यता पर पर्दा उठाया जो इसके Cosmos DB Jupyter Notebooks सुविधा को प्रभावित करता है। रिमोट कोड निष्पादन (आरसीई) बग एक चित्र प्रदान करता है कि कैसे क्लाउड-नेटिव और मशीन लर्निंग-अनुकूल वातावरण के प्रमाणीकरण आर्किटेक्चर में कमजोरियों का उपयोग हमलावरों द्वारा किया जा सकता है।
ओर्का की अनुसंधान टीम द्वारा डब किया गया कॉसमॉस, प्राधिकरण हेडर को कैसे प्रबंधित किया जाता है, इसमें भेद्यता एक गलत कॉन्फ़िगरेशन के कारण होती है, जो अप्रमाणित उपयोगकर्ताओं को एज़्योर कॉसमॉस डीबी नोटबुक तक पढ़ने और लिखने की पहुंच प्रदान करती है, और कोड को इंजेक्ट और ओवरराइट करती है।
“संक्षेप में, यदि किसी हमलावर को नोटबुक की 'फ़ॉरवर्डिंगआईडी' का ज्ञान था, जो कि नोटबुक वर्कस्पेस का यूयूआईडी है, तो उनके पास नोटबुक पर पूर्ण अनुमतियाँ होंगी, जिसमें पढ़ने और लिखने की पहुंच और फ़ाइल सिस्टम को संशोधित करने की क्षमता शामिल होगी। नोटबुक चलाने वाला कंटेनर,'' ओर्का के लिडोर बेन शिट्रिट और रोई सागी ने लिखा तकनीकी खराबी भेद्यता का. "कंटेनर फ़ाइल सिस्टम को संशोधित करके - अस्थायी नोटबुक होस्टिंग के लिए समर्पित कार्यक्षेत्र - हम नोटबुक कंटेनर में आरसीई प्राप्त करने में सक्षम थे।"
एक वितरित NoSQL डेटाबेस, Azure Cosmos DB को उच्च उपलब्धता और कम विलंबता के साथ स्केलेबल, उच्च-प्रदर्शन वाले ऐप्स का समर्थन करने के लिए डिज़ाइन किया गया है। इसके उपयोगों में IoT डिवाइस टेलीमेट्री और एनालिटिक्स के लिए हैं; उत्पाद कैटलॉग और एआई-संचालित वैयक्तिकृत अनुशंसाओं जैसी चीज़ों को चलाने के लिए वास्तविक समय की खुदरा सेवाएँ; और विश्व स्तर पर वितरित एप्लिकेशन जैसे स्ट्रीमिंग सेवाएं, पिक-अप और डिलीवरी सेवाएं और इसी तरह की अन्य सुविधाएं।
इस बीच, ज्यूपिटर नोटबुक एक खुला स्रोत इंटरैक्टिव डेवलपर वातावरण (आईडीई) है जिसका उपयोग डेवलपर्स, डेटा वैज्ञानिकों, इंजीनियरों और व्यापार विश्लेषकों द्वारा डेटा अन्वेषण और डेटा सफाई से लेकर सांख्यिकीय मॉडलिंग, डेटा विज़ुअलाइज़ेशन और मशीन लर्निंग तक सब कुछ करने के लिए किया जाता है। यह लाइव कोड, समीकरण, विज़ुअलाइज़ेशन और कथा पाठ के साथ दस्तावेज़ बनाने, निष्पादित करने और साझा करने के लिए बनाया गया एक शक्तिशाली वातावरण है।
ओर्का शोधकर्ताओं का कहना है कि यह कार्यक्षमता कॉसमॉस डीबी नोटबुक के भीतर प्रमाणीकरण में दोष पैदा करती है, विशेष रूप से जोखिम भरा है, क्योंकि वे "डेवलपर्स द्वारा कोड बनाने के लिए उपयोग किए जाते हैं और अक्सर कोड में एम्बेडेड रहस्य और निजी कुंजी जैसी अत्यधिक संवेदनशील जानकारी होती है।"
दोष गर्मियों के अंत में पेश किया गया था, अक्टूबर की शुरुआत में ओर्का द्वारा माइक्रोसॉफ्ट को खोजा गया और बताया गया, और दो दिनों के भीतर ठीक कर दिया गया। कॉसमॉस डीबी के वितरित आर्किटेक्चर के कारण पैच को रोल आउट करने के लिए ग्राहकों की ओर से किसी कार्रवाई की आवश्यकता नहीं थी।
कॉसमॉस में पाई गई पहली भेद्यता नहीं
Azure Cosmos DB में ज्यूपिटर नोटबुक का अंतर्निहित एकीकरण अभी भी पूर्वावलोकन मोड में एक सुविधा है, लेकिन यह निश्चित रूप से इसके भीतर पाया गया पहला प्रचारित दोष नहीं है। पिछले साल Wiz.io के शोधकर्ता की खोज सुविधा में खामियों की एक श्रृंखला जिसने किसी भी Azure उपयोगकर्ता को प्राधिकरण के बिना अन्य ग्राहकों के कॉस्मॉस DB इंस्टेंसेस तक पूर्ण व्यवस्थापक पहुंच प्रदान की। उस समय, शोधकर्ताओं ने बताया कि कोका-कोला, कोहलर, रोल्स-रॉयस, सीमेंस और सिमेंटेक जैसे बड़े ब्रांडों की डेटाबेस कुंजियाँ उजागर हो गई थीं।
एमएसआरसी द्वारा मंगलवार को प्रकाशित एक ब्लॉग में बताए गए कई कारकों के कारण इस नवीनतम दोष का जोखिम और प्रभाव पिछले वाले की तुलना में अधिक सीमित है।
एमएसआरसी ब्लॉग के अनुसार, इस गर्मी में बैकएंड एपीआई में अपडेट के बाद शोषण योग्य बग लगभग दो महीने तक उजागर हुआ था, जिसके परिणामस्वरूप अनुरोध ठीक से प्रमाणित नहीं हुए थे। अच्छी खबर यह है कि सुरक्षा टीम ने गतिविधि की गहन जांच की और उस समय हमलावरों द्वारा खामी का फायदा उठाने का कोई संकेत नहीं मिला।
"Microsoft ने 12 अगस्त से 6 अक्टूबर तक लॉग डेटा की जांच की और किसी भी क्रूर बल अनुरोध की पहचान नहीं की जो दुर्भावनापूर्ण गतिविधि का संकेत दे," MSRC प्रवक्ता ने लिखा, जिन्होंने यह भी नोट किया कि 99.8% Azure Cosmos DB ग्राहक अभी तक Jupyter Notebooks का उपयोग नहीं करते हैं।
जोखिम को और कम करने वाला तथ्य यह है कि ओर्का प्रूफ-ऑफ-कॉन्सेप्ट में उपयोग की जाने वाली फॉरवर्डिंग आईडी का जीवनकाल बहुत कम होता है। नोटबुक को एक अस्थायी नोटबुक कार्यस्थान में चलाया जाता है जिसका अधिकतम जीवनकाल एक घंटे का होता है, जिसके बाद उस कार्यस्थान का सारा डेटा हटा दिया जाता है।
माइक्रोसॉफ्ट ने बताया, "संभावित प्रभाव पीड़ित की नोटबुक के पढ़ने/लिखने की पहुंच तक सीमित है, जब उनका अस्थायी नोटबुक कार्यक्षेत्र सक्रिय है।" “फ़ॉरवर्डिंगआईडी के ज्ञान के साथ भी भेद्यता, नोटबुक को निष्पादित करने, पीड़ित के (वैकल्पिक) कनेक्टेड GitHub रिपॉजिटरी में नोटबुक को स्वचालित रूप से सहेजने, या Azure Cosmos DB खाते में डेटा तक पहुंच प्रदान करने की क्षमता नहीं देती है।”
