La vulnerabilità critica in Microsoft Azure Cosmos DB apre i notebook Jupyter

I ricercatori del Microsoft Security Response Center (MSRC) e Orca Security hanno riaperto questa settimana le coperture su una vulnerabilità critica in Microsoft Azure Cosmos DB che influisce sulla sua funzionalità Cosmos DB Jupyter Notebooks. Il bug dell'esecuzione di codice in modalità remota (RCE) fornisce un ritratto di come i punti deboli nell'architettura di autenticazione degli ambienti nativi del cloud e compatibili con l'apprendimento automatico potrebbero essere sfruttati dagli aggressori.

Soprannominata CosMiss dal team di ricerca di Orca, la vulnerabilità si riduce a un'errata configurazione nel modo in cui vengono gestite le intestazioni di autorizzazione, che consente agli utenti non autenticati di ottenere l'accesso in lettura e scrittura ai notebook di Azure Cosmos DB e di inserire e sovrascrivere il codice.

"In breve, se un utente malintenzionato fosse a conoscenza del 'forwardingId' di un notebook, che è l'UUID dell'area di lavoro del notebook, avrebbe permessi completi sul notebook, incluso l'accesso in lettura e scrittura e la possibilità di modificare il file system di il contenitore che fa funzionare il taccuino”, hanno scritto Lidor Ben Shitrit e Roee Sagi di Orca in a degrado tecnico della vulnerabilità. "Modificando il file system del contenitore, ovvero lo spazio di lavoro dedicato per l'hosting temporaneo dei notebook, siamo riusciti a ottenere RCE nel contenitore del notebook."

Un database NoSQL distribuito, Azure Cosmos DB è progettato per supportare app scalabili e ad alte prestazioni con disponibilità elevata e bassa latenza. Tra i suoi usi figurano la telemetria e l'analisi dei dispositivi IoT; servizi di vendita al dettaglio in tempo reale per gestire cataloghi di prodotti e consigli personalizzati basati sull'intelligenza artificiale; e applicazioni distribuite a livello globale come servizi di streaming, servizi di ritiro e consegna e simili.

Nel frattempo, Jupyter Notebooks è un ambiente di sviluppo interattivo (IDE) open source utilizzato da sviluppatori, data scientist, ingegneri e analisti aziendali per fare qualsiasi cosa, dall'esplorazione e pulizia dei dati alla modellazione statistica, visualizzazione dei dati e apprendimento automatico. È un ambiente potente creato per creare, eseguire e condividere documenti con codice live, equazioni, visualizzazioni e testo narrativo.

I ricercatori di Orca affermano che questa funzionalità rende particolarmente rischiosa una falla nell'autenticazione all'interno dei notebook Cosmos DB, poiché vengono "utilizzati dagli sviluppatori per creare codice e spesso contengono informazioni altamente sensibili come segreti e chiavi private incorporate nel codice".

Il difetto è stato introdotto alla fine dell'estate, scoperto e comunicato a Microsoft da Orca all'inizio di ottobre e risolto entro due giorni. L'implementazione della patch non richiedeva alcuna azione da parte dei clienti a causa dell'architettura distribuita di Cosmos DB.

Non è la prima vulnerabilità trovata nel cosmo

L'integrazione integrata di Jupyter Notebooks in Azure Cosmos DB è ancora una funzionalità in modalità anteprima, ma questo non è sicuramente il primo difetto pubblicizzato riscontrato al suo interno. I ricercatori dell'anno scorso con Wiz.io scoperto una catena di difetti nella funzionalità che forniva a qualsiasi utente di Azure l’accesso amministrativo completo alle istanze Cosmos DB di altri clienti senza autorizzazione. All’epoca, i ricercatori riferirono che grandi marchi come Coca-Cola, Kohler, Rolls-Royce, Siemens e Symantec avevano tutti le chiavi del database esposte.

Il rischio e gli impatti di quest’ultima falla sono probabilmente di portata più limitata rispetto alla precedente a causa di una serie di fattori esposti da MSRC in un blog pubblicato martedì. 

Secondo il blog MSRC, il bug sfruttabile è stato esposto per circa due mesi dopo che un aggiornamento di quest'estate in un'API di backend ha comportato la mancata autenticazione delle richieste. La buona notizia è che il team di sicurezza ha condotto un'indagine approfondita dell'attività e in quel momento non ha trovato alcun segno che gli aggressori sfruttassero la falla.

"Microsoft ha condotto un'indagine sui dati di registro dal 12 agosto al 6 ottobre e non ha identificato alcuna richiesta di forza bruta che possa indicare attività dannose," ha scritto un portavoce della MSRC, che ha inoltre notato che il 99.8% dei clienti di Azure Cosmos DB non utilizza ancora Jupyter Notebooks.

A mitigare ulteriormente il rischio c’è il fatto che il forwardingId utilizzato nel proof-of-concept di Orca ha una durata molto breve. I notebook vengono eseguiti in un'area di lavoro temporanea con una durata massima di un'ora, dopodiché tutti i dati in tale area di lavoro vengono eliminati.

"L'impatto potenziale è limitato all'accesso in lettura/scrittura ai notebook della vittima durante il periodo in cui il suo spazio di lavoro temporaneo è attivo", ha spiegato Microsoft. "La vulnerabilità, anche con la conoscenza del forwardingId, non consentiva di eseguire notebook, di salvare automaticamente notebook nel repository GitHub connesso (facoltativo) della vittima o di accedere ai dati nell'account Azure Cosmos DB."