Krytyczna luka w zabezpieczeniach Microsoft Azure Cosmos DB otwiera notesy Jupyter

Badacze z Microsoft Security Response Center (MSRC) i Orca Security odkryli w tym tygodniu krytyczną lukę w zabezpieczeniach Microsoft Azure Cosmos DB, która wpływa na funkcję Cosmos DB Jupyter Notebooks. Błąd zdalnego wykonania kodu (RCE) pokazuje, w jaki sposób atakujący mogą wykorzystać słabości w architekturze uwierzytelniania środowisk natywnych w chmurze i środowisk przyjaznych uczeniu maszynowemu.

Luka, nazwana przez zespół badawczy Orca CosMiss, wynika z błędnej konfiguracji sposobu obsługi nagłówków autoryzacji, co pozwala nieuwierzytelnionym użytkownikom uzyskać dostęp do odczytu i zapisu w notesach Azure Cosmos DB oraz wstrzykiwać i zastępować kod.

„Krótko mówiąc, gdyby osoba atakująca znała„ forwardingId ”Notatnika, czyli UUID obszaru roboczego Notatnika, miałaby pełne uprawnienia do Notatnika, w tym dostęp do odczytu i zapisu oraz możliwość modyfikowania systemu plików pojemnik, w którym znajduje się notatnik” – napisali Lidor Ben Shitrit i Roee Sagi z Orca w: załamanie techniczne podatności. „Modyfikując system plików kontenera — czyli dedykowany obszar roboczy do tymczasowego hostingu notebooków — udało nam się uzyskać RCE w kontenerze notebooka”.

Rozproszona baza danych NoSQL, Azure Cosmos DB, jest przeznaczona do obsługi skalowalnych, wydajnych aplikacji o wysokiej dostępności i małych opóźnieniach. Wśród jego zastosowań znajduje się telemetria i analityka urządzeń IoT; usługi detaliczne w czasie rzeczywistym umożliwiające wyświetlanie katalogów produktów i spersonalizowanych rekomendacji opartych na sztucznej inteligencji; oraz aplikacje dystrybuowane na całym świecie, takie jak usługi przesyłania strumieniowego, usługi odbioru i dostawy i tym podobne.

Tymczasem Jupyter Notebooks to interaktywne środowisko programistyczne (IDE) typu open source używane przez programistów, analityków danych, inżynierów i analityków biznesowych do wszelkich zadań, od eksploracji i czyszczenia danych po modelowanie statystyczne, wizualizację danych i uczenie maszynowe. To potężne środowisko stworzone do tworzenia, wykonywania i udostępniania dokumentów z aktywnym kodem, równaniami, wizualizacjami i tekstem narracji.

Badacze firmy Orca twierdzą, że ta funkcjonalność sprawia, że ​​luka w uwierzytelnianiu w notesach Cosmos DB Notebooks jest szczególnie ryzykowna, ponieważ są one „używane przez programistów do tworzenia kodu i często zawierają bardzo wrażliwe informacje, takie jak wpisy tajne i klucze prywatne osadzone w kodzie”.

Usterka została wprowadzona późnym latem, odkryta i ujawniona Microsoftowi przez firmę Orca na początku października i naprawiona w ciągu dwóch dni. Wdrożenie poprawki nie wymagało żadnych działań ze strony klientów ze względu na rozproszoną architekturę Cosmos DB.

To nie pierwsza luka znaleziona w kosmosie

Wbudowana integracja notesów Jupyter z usługą Azure Cosmos DB nadal jest funkcją dostępną w trybie podglądu, ale z pewnością nie jest to pierwsza ujawniona w jej ramach luka. W zeszłym roku badacze z Wiz.io odkryty łańcuch wad tej funkcji, który zapewniał każdemu użytkownikowi platformy Azure pełny dostęp administracyjny do wystąpień Cosmos DB innych klientów bez autoryzacji. W tamtym czasie badacze zgłosili, że klucze do baz danych zostały ujawnione dla dużych marek, takich jak Coca-Cola, Kohler, Rolls-Royce, Siemens i Symantec.

Można przypuszczać, że ryzyko i skutki tej ostatniej wady są bardziej ograniczone w porównaniu z poprzednią, ze względu na szereg czynników opisanych przez MSRC na blogu opublikowanym we wtorek. 

Według bloga MSRC możliwy do wykorzystania błąd był ujawniany przez około dwa miesiące po aktualizacji, która miała miejsce tego lata w interfejsie API zaplecza, powodując nieprawidłowe uwierzytelnianie żądań. Dobra wiadomość jest taka, że ​​zespół ds. bezpieczeństwa przeprowadził dokładne badanie aktywności i nie znalazł wówczas żadnych oznak wykorzystania luki przez atakujących.

„Microsoft przeprowadził badanie danych dziennika od 12 sierpnia do 6 października i nie zidentyfikował żadnych żądań brutalnej siły, które wskazywałyby na złośliwą aktywność” – napisał rzecznik MSRC, który zauważył również, że 99.8% klientów Azure Cosmos DB nie korzysta jeszcze z notesów Jupyter.

Kolejnym czynnikiem ograniczającym ryzyko jest fakt, że identyfikator przesyłania wykorzystany w weryfikacjach koncepcji Orca ma bardzo krótką żywotność. Notatniki są uruchamiane w tymczasowym obszarze roboczym notesu, którego maksymalny czas życia wynosi jedną godzinę, po czym wszystkie dane w tym obszarze roboczym są usuwane.

„Potencjalny wpływ ogranicza się do dostępu do odczytu/zapisu w notatnikach ofiary w czasie, gdy aktywny jest obszar roboczy ich tymczasowych notatników” – wyjaśnił Microsoft. „Luka, nawet przy znajomości forwardingId, nie dawała możliwości wykonywania notatników, automatycznego zapisywania notatników w (opcjonalnie) połączonym repozytorium GitHub ofiary ani dostępu do danych na koncie Azure Cosmos DB.”