A Microsoft Security Response Center (MSRC) és az Orca Security kutatói ezen a héten felhívták a figyelmet a Microsoft Azure Cosmos DB egy kritikus biztonsági résére, amely hatással van a Cosmos DB Jupyter Notebooks funkciójára. A távoli kódvégrehajtási (RCE) hiba bemutatja, hogyan használhatják fel a támadók a felhőalapú és a gépi tanulásbarát környezetek hitelesítési architektúrájának gyengeségeit.
Dubbed CosMiss by Orca’s research team, the vulnerability boils down to a misconfiguration in how authorization headers are handled, which let unauthenticated users gain read and write access to Azure Cosmos DB Notebooks, and inject and overwrite code.
“In short, if an attacker had knowledge of a Notebook’s ‘forwardingId’, which is the UUID of the Notebook Workspace, they would have had full permissions on the Notebook, including read and write access, and the ability to modify the file system of the container running the notebook,” wrote Lidor Ben Shitrit and Roee Sagi of Orca in a műszaki leállás of the vulnerability. “By modifying the container file system — aka dedicated workspace for temporary notebook hosting — we were able to obtain RCE in the notebook container.”
Az elosztott NoSQL-adatbázis, az Azure Cosmos DB méretezhető, nagy teljesítményű, magas rendelkezésre állású és alacsony késleltetésű alkalmazások támogatására készült. Felhasználásai között szerepel az IoT-eszközök telemetriája és elemzése; valós idejű kiskereskedelmi szolgáltatások olyan dolgok futtatásához, mint a termékkatalógusok és a mesterséges intelligencia által vezérelt személyre szabott ajánlások; és globálisan elosztott alkalmazások, például streaming szolgáltatások, felvételi és kézbesítési szolgáltatások és hasonlók.
Meantime, Jupyter Notebooks is an open source interactive developer environment (IDE) used by developers, data scientists, engineers, and business analysts to do everything from data exploration and data cleaning to statistical modeling, data visualization, and machine learning. It’s a powerful environment built for creating, executing, and sharing documents with live code, equations, visualizations, and narrative text.
Orca researchers say that this functionality makes a flaw in authentication within Cosmos DB Notebooks particularly risky, since they’re “used by developers to create code and often contain highly sensitive information such as secrets and private keys embedded in the code.”
A hibát a nyár végén vezették be, az Orca október elején találta meg és közölte a Microsofttal, majd két napon belül kijavították. A Cosmos DB elosztott architektúrája miatt a javítás nem igényelt semmit az ügyfelektől a bevezetéshez.
Nem az első sebezhetőség, amelyet a Cosmos-ban találtak
A Jupyter Notebookok Azure Cosmos DB-be való beépített integrációja még mindig egy funkció előnézeti módban, de határozottan nem ez az első közzétett hiba, amelyet találtak benne. Tavaly kutatók a Wiz.io-val felfedezett a chain of flaws in the feature that gave any Azure user full admin access to other customers’ Cosmos DB instances without authorization. At the time, researchers reported big brands like Coca-Cola, Kohler, Rolls-Royce, Siemens, and Symantec all had database keys exposed.
Ennek a legújabb hibának a kockázata és hatásai vitathatóan korlátozottabbak, mint az előző, az MSRC kedden közzétett blogjában meghatározott számos tényező miatt.
According to the MSRC blog, the exploitable bug was exposed for approximately two months after an update this summer in a backend API resulted in requests not being authenticated properly. The good news is, the security team conducted a thorough investigation of activity and didn’t find any signs of attackers leveraging the flaw at the time.
“Microsoft conducted an investigation of log data from August 12th to Oct 6th and did not identify any brute force requests that would indicate malicious activity,” – írta az MSRC szóvivője, aki azt is megjegyezte, hogy az Azure Cosmos DB-ügyfelek 99.8%-a még nem használ Jupyter Notebookokat.
Tovább mérsékli a kockázatot az a tény, hogy az Orca proof-of-conceptben használt forwardingId nagyon rövid élettartamú. A jegyzetfüzetek egy ideiglenes jegyzetfüzet-munkaterületen futnak, amelynek élettartama legfeljebb egy óra, majd az adott munkaterületen lévő összes adat törlődik.
“The potential impact is limited to read/write access of the victim’s notebooks during the time their temporary notebooks workspace is active,” explained Microsoft. “The vulnerability, even with knowledge of the forwardingId, did not give the ability to execute notebooks, automatically save notebooks in the victim’s (optional) connected GitHub repository, or access to data in the Azure Cosmos DB account.”
