Критическая уязвимость в Microsoft Azure Cosmos DB делает доступными ноутбуки Jupyter

На этой неделе исследователи из Microsoft Security Response Center (MSRC) и Orca Security рассказали о критической уязвимости в Microsoft Azure Cosmos DB, которая влияет на его функцию Cosmos DB Jupyter Notebooks. Ошибка удаленного выполнения кода (RCE) дает представление о том, как злоумышленники могут использовать слабые места в архитектуре аутентификации облачных сред и сред, удобных для машинного обучения.

Уязвимость, названная исследовательской группой Orca CosMiss, сводится к неправильной настройке обработки заголовков авторизации, что позволяет не прошедшим проверку подлинности пользователям получать доступ для чтения и записи к записным книжкам Azure Cosmos DB, а также внедрять и перезаписывать код.

«Короче говоря, если бы злоумышленник знал «forwardingId» ноутбука, который является UUID рабочей области ноутбука, он имел бы полные права доступа к ноутбуку, включая доступ для чтения и записи, а также возможность изменять файловую систему ноутбука. контейнер, в котором работает блокнот», — написали Лидор Бен Шитрит и Рои Саги из Orca в технический износ уязвимости. «Изменив файловую систему контейнера — она же выделенная рабочая область для временного размещения ноутбуков — мы смогли получить RCE в контейнере ноутбуков».

Распределенная база данных NoSQL, Azure Cosmos DB, предназначена для поддержки масштабируемых, высокопроизводительных приложений с высокой доступностью и низкой задержкой. Среди его применений - телеметрия и аналитика устройств IoT; розничные услуги в режиме реального времени для запуска таких вещей, как каталоги продуктов и персонализированные рекомендации на основе ИИ; и глобально распределенные приложения, такие как службы потоковой передачи, службы приема и доставки и т.п.

Между тем, Jupyter Notebooks — это интерактивная среда разработки (IDE) с открытым исходным кодом, используемая разработчиками, специалистами по обработке и анализу данных, инженерами и бизнес-аналитиками для решения любых задач — от исследования и очистки данных до статистического моделирования, визуализации данных и машинного обучения. Это мощная среда, созданная для создания, выполнения и обмена документами с динамическим кодом, уравнениями, визуализациями и описательным текстом.

Исследователи Orca говорят, что эта функциональность делает уязвимость в аутентификации в ноутбуках Cosmos DB особенно рискованной, поскольку они «используются разработчиками для создания кода и часто содержат очень конфиденциальную информацию, такую ​​как секреты и закрытые ключи, встроенные в код».

Уязвимость была обнаружена в конце лета, обнаружена и раскрыта Microsoft компанией Orca в начале октября и устранена в течение двух дней. Для развертывания исправления от клиентов не требовалось никаких действий из-за распределенной архитектуры Cosmos DB.

В Cosmos нашли не первую уязвимость

Встроенная интеграция Jupyter Notebooks в Azure Cosmos DB все еще является функцией в режиме предварительного просмотра, но это определенно не первая обнаруженная в ней ошибка. В прошлом году исследователи с Wiz.io открытый цепочка недостатков в функции, которая давала любому пользователю Azure полный административный доступ к экземплярам Cosmos DB других клиентов без авторизации. В то время исследователи сообщали, что у крупных брендов, таких как Coca-Cola, Kohler, Rolls-Royce, Siemens и Symantec, были раскрыты ключи баз данных.

Риск и влияние этой последней уязвимости, возможно, более ограничены по масштабу, чем предыдущая, из-за ряда факторов, изложенных MSRC в блоге, опубликованном во вторник. 

Согласно блогу MSRC, эксплуатируемая ошибка была раскрыта примерно через два месяца после обновления этим летом в бэкэнд-API, которое привело к тому, что запросы не аутентифицировались должным образом. Хорошая новость заключается в том, что команда безопасности провела тщательное расследование активности и не обнаружила никаких признаков того, что злоумышленники использовали уязвимость в то время.

«Microsoft провела исследование данных журнала с 12 августа по 6 октября и не выявила каких-либо запросов грубой силы, которые указывали бы на вредоносную активность». написал представитель MSRC, который также отметил, что 99.8 % клиентов Azure Cosmos DB еще не используют Jupyter Notebooks.

Дальнейшим снижением риска является тот факт, что forwardingId, используемый в проверке концепции Orca, имеет очень короткий срок службы. Записные книжки запускаются во временной рабочей области записной книжки, максимальный срок службы которой составляет один час, после чего все данные в этой рабочей области удаляются.

«Потенциальное воздействие ограничено доступом для чтения/записи к ноутбукам жертвы в то время, когда их временное рабочее пространство ноутбуков активно», — пояснили в Microsoft. «Уязвимость, даже при знании forwardingId, не давала возможности запускать блокноты, автоматически сохранять блокноты в подключенном GitHub-репозитории жертвы (необязательно) или получать доступ к данным в учетной записи Azure Cosmos DB».