Onderzoekers van het Microsoft Security Response Center (MSRC) en Orca Security hebben deze week de aandacht gevestigd op een kritieke kwetsbaarheid in Microsoft Azure Cosmos DB die van invloed is op de Cosmos DB Jupyter Notebooks-functie. De Remote Code Execution (RCE)-bug geeft een beeld van hoe zwakke punten in de authenticatiearchitectuur van cloud-native en machine learning-vriendelijke omgevingen door aanvallers kunnen worden gebruikt.
Het beveiligingslek, door het onderzoeksteam van Orca CosMiss genoemd, komt neer op een verkeerde configuratie in de manier waarop autorisatieheaders worden afgehandeld, waardoor niet-geverifieerde gebruikers lees- en schrijftoegang kunnen krijgen tot Azure Cosmos DB Notebooks en code kunnen injecteren en overschrijven.
โKortom, als een aanvaller kennis zou hebben gehad van de 'forwardingId' van een Notebook, wat de UUID is van de Notebook Workspace, dan zou hij/zij volledige rechten hebben gehad op de Notebook, inclusief lees- en schrijftoegang, en de mogelijkheid om het bestandssysteem van de Notebook te wijzigen. de container waarin het notitieboekje zitโ, schreven Lidor Ben Shitrit en Roee Sagi van Orca in een technisch verval van de kwetsbaarheid. โDoor het containerbestandssysteem aan te passen โ oftewel speciale werkruimte voor tijdelijke notebookhosting โ konden we RCE in de notebookcontainer verkrijgen.โ
Azure Cosmos DB is een gedistribueerde NoSQL-database en is ontworpen voor de ondersteuning van schaalbare, krachtige apps met hoge beschikbaarheid en lage latentie. Het wordt onder meer gebruikt voor telemetrie en analyse van IoT-apparaten; realtime retaildiensten om zaken als productcatalogi en AI-gestuurde gepersonaliseerde aanbevelingen uit te voeren; en wereldwijd gedistribueerde toepassingen zoals streamingdiensten, ophaal- en bezorgdiensten en dergelijke.
Ondertussen is Jupyter Notebooks een open source interactieve ontwikkelaarsomgeving (IDE) die door ontwikkelaars, datawetenschappers, ingenieurs en bedrijfsanalisten wordt gebruikt om alles te doen, van dataverkenning en dataopschoning tot statistische modellering, datavisualisatie en machinaal leren. Het is een krachtige omgeving die is gebouwd voor het maken, uitvoeren en delen van documenten met live code, vergelijkingen, visualisaties en verhalende tekst.
Orca-onderzoekers zeggen dat deze functionaliteit een fout in de authenticatie binnen Cosmos DB Notebooks bijzonder riskant maakt, omdat ze โdoor ontwikkelaars worden gebruikt om code te maken en vaak zeer gevoelige informatie bevatten, zoals geheimen en privรฉsleutels die in de code zijn ingebed.โ
De fout werd aan het eind van de zomer geรฏntroduceerd, begin oktober door Orca ontdekt en aan Microsoft bekendgemaakt, en binnen twee dagen verholpen. De patch vereiste geen actie van klanten om uit te rollen vanwege de gedistribueerde architectuur van Cosmos DB.
Niet de eerste kwetsbaarheid gevonden in Cosmos
De ingebouwde integratie van Jupyter Notebooks in Azure Cosmos DB is nog steeds een functie in de preview-modus, maar dit is zeker niet de eerste gepubliceerde fout die daarin wordt aangetroffen. Vorig jaar onderzoekers met Wiz.io ontdekt een reeks tekortkomingen in de functie waardoor elke Azure-gebruiker zonder toestemming volledige beheerderstoegang kreeg tot de Cosmos DB-instanties van andere klanten. Destijds meldden onderzoekers dat grote merken als Coca-Cola, Kohler, Rolls-Royce, Siemens en Symantec allemaal databasesleutels hadden blootgelegd.
Het risico en de impact van deze nieuwste fout zijn waarschijnlijk beperkter in omvang dan de vorige, vanwege een aantal factoren die MSRC heeft uiteengezet in een dinsdag gepubliceerde blog.
Volgens de MSRC-blog werd de exploiteerbare bug ongeveer twee maanden lang blootgelegd nadat een update deze zomer in een backend-API ertoe leidde dat verzoeken niet correct werden geverifieerd. Het goede nieuws is dat het beveiligingsteam een โโgrondig onderzoek naar de activiteiten heeft uitgevoerd en geen enkel teken heeft gevonden dat aanvallers destijds misbruik hebben gemaakt van de fout.
โMicrosoft heeft van 12 augustus tot 6 oktober een onderzoek uitgevoerd naar loggegevens en heeft geen brute force-verzoeken geรฏdentificeerd die op kwaadwillige activiteiten zouden duidenโ, aldus de woordvoerder. schreef een MSRC-woordvoerder, die ook opmerkte dat 99.8% van de Azure Cosmos DB-klanten nog geen Jupyter Notebooks gebruiken.
Een verdere beperking van het risico is het feit dat de forwardingId die wordt gebruikt in het Orca proof-of-concept een zeer korte levensduur heeft. Notebooks worden uitgevoerd in een tijdelijke notebookwerkruimte met een maximale levensduur van รฉรฉn uur, waarna alle gegevens in die werkruimte worden verwijderd.
โDe potentiรซle impact is beperkt tot lees-/schrijftoegang tot de notebooks van het slachtoffer gedurende de tijd dat de tijdelijke notebookwerkruimte actief isโ, legt Microsoft uit. โDe kwetsbaarheid gaf, zelfs met kennis van de forwardingId, niet de mogelijkheid om notebooks uit te voeren, notebooks automatisch op te slaan in de (optionele) verbonden GitHub-repository van het slachtoffer, of toegang te krijgen tot gegevens in het Azure Cosmos DB-account.โ
