Para peneliti dengan Microsoft Security Response Center (MSRC) dan Orca Security mengungkap kerentanan kritis di Microsoft Azure Cosmos DB minggu ini yang memengaruhi fitur Notebook Cosmos DB Jupyter. Bug eksekusi kode jarak jauh (RCE) memberikan gambaran tentang bagaimana kelemahan dalam arsitektur autentikasi cloud-native dan lingkungan ramah pembelajaran mesin dapat digunakan oleh penyerang.
Dijuluki CosMiss oleh tim riset Orca, kerentanan tersebut bermuara pada kesalahan konfigurasi dalam cara penanganan header otorisasi, yang memungkinkan pengguna yang tidak diautentikasi mendapatkan akses baca dan tulis ke Notebook Azure Cosmos DB, serta menyuntikkan dan menimpa kode.
โSingkatnya, jika penyerang mengetahui 'forwardingId' Notebook, yang merupakan UUID dari Notebook Workspace, mereka akan memiliki izin penuh pada Notebook, termasuk akses baca dan tulis, dan kemampuan untuk memodifikasi sistem file dari wadah menjalankan buku catatan,โ tulis Lidor Ben Shitrit dan Roee Sagi dari Orca di a penurunan teknis dari kerentanan. โDengan memodifikasi sistem file kontainer โ alias ruang kerja khusus untuk hosting notebook sementara โ kami dapat memperoleh RCE di kontainer notebook.โ
Database NoSQL terdistribusi, Azure Cosmos DB dirancang untuk mendukung aplikasi yang dapat diskalakan dan berkinerja tinggi dengan ketersediaan tinggi dan latensi rendah. Di antara kegunaannya adalah untuk telemetri dan analitik perangkat IoT; layanan ritel waktu nyata untuk menjalankan hal-hal seperti katalog produk dan rekomendasi hasil personalisasi berbasis AI; dan aplikasi yang didistribusikan secara global seperti layanan streaming, layanan penjemputan dan pengiriman, dan sejenisnya.
Sementara itu, Jupyter Notebooks adalah lingkungan pengembang interaktif (IDE) sumber terbuka yang digunakan oleh pengembang, ilmuwan data, insinyur, dan analis bisnis untuk melakukan segalanya mulai dari eksplorasi data dan pembersihan data hingga pemodelan statistik, visualisasi data, dan pembelajaran mesin. Ini adalah lingkungan canggih yang dibangun untuk membuat, mengeksekusi, dan berbagi dokumen dengan kode langsung, persamaan, visualisasi, dan teks naratif.
Peneliti Orca mengatakan bahwa fungsi ini membuat cacat dalam autentikasi dalam Notebook Cosmos DB sangat berisiko, karena "digunakan oleh pengembang untuk membuat kode dan seringkali berisi informasi yang sangat sensitif seperti rahasia dan kunci pribadi yang disematkan dalam kode".
Cacat tersebut diperkenalkan pada akhir musim panas, ditemukan dan diungkapkan ke Microsoft oleh Orca pada awal Oktober, dan diperbaiki dalam dua hari. Tambalan tidak memerlukan tindakan dari pelanggan untuk diluncurkan karena arsitektur terdistribusi dari Cosmos DB.
Bukan Kerentanan Pertama Ditemukan di Kosmos
Integrasi bawaan Notebook Jupyter ke dalam Azure Cosmos DB masih menjadi fitur dalam mode pratinjau, tetapi ini jelas bukan kelemahan pertama yang dipublikasikan di dalamnya. Peneliti tahun lalu dengan Wiz.io ditemukan rantai kelemahan dalam fitur yang memberikan akses admin penuh pengguna Azure ke instans DB Cosmos pelanggan lain tanpa otorisasi. Pada saat itu, para peneliti melaporkan merek-merek besar seperti Coca-Cola, Kohler, Rolls-Royce, Siemens, dan Symantec semuanya memiliki kunci database yang terbuka.
Risiko dan dampak dari cacat terbaru ini dapat diperdebatkan dalam cakupan yang lebih terbatas daripada yang sebelumnya karena sejumlah faktor yang diungkapkan MSRC dalam blog yang diterbitkan Selasa.
Menurut blog MSRC, bug yang dapat dieksploitasi terungkap selama kurang lebih dua bulan setelah pembaruan musim panas ini di API backend mengakibatkan permintaan tidak diautentikasi dengan benar. Kabar baiknya adalah, tim keamanan melakukan investigasi aktivitas secara menyeluruh dan tidak menemukan tanda-tanda penyerang memanfaatkan kelemahan tersebut pada saat itu.
"Microsoft melakukan penyelidikan data log dari 12 Agustus hingga 6 Oktober dan tidak mengidentifikasi permintaan brute force yang mengindikasikan aktivitas berbahaya," tulis juru bicara MSRC, yang juga mencatat bahwa 99.8% pelanggan Azure Cosmos DB belum menggunakan Notebook Jupyter.
Mengurangi risiko lebih lanjut adalah kenyataan bahwa forwardingId yang digunakan dalam proof-of-concept Orca memiliki umur yang sangat singkat. Notebook dijalankan di ruang kerja notebook sementara yang memiliki masa pakai maksimal satu jam, setelah itu semua data di ruang kerja tersebut dihapus.
โPotensi dampaknya terbatas pada akses baca/tulis notebook korban selama ruang kerja notebook sementara mereka aktif,โ jelas Microsoft. Kerentanan, bahkan dengan pengetahuan tentang forwardingId, tidak memberikan kemampuan untuk mengeksekusi notebook, secara otomatis menyimpan notebook di repositori GitHub korban (opsional) yang terhubung, atau akses ke data di akun Azure Cosmos DB.โ
