Forskare med Microsoft Security Response Center (MSRC) och Orca Security drog tillbaka omslagen denna vecka på en kritisk sårbarhet i Microsoft Azure Cosmos DB som påverkar dess Cosmos DB Jupyter Notebooks-funktion. Fjärrkodskörningsfelet (RCE) ger ett porträtt av hur svagheter i autentiseringsarkitekturen i molnbaserade och maskininlärningsvänliga miljöer kan användas av angripare.
Sårbarheten, kallad CosMiss av Orcas forskargrupp, kokar ner till en felaktig konfiguration i hur auktoriseringsrubriker hanteras, vilket låter oautentiserade användare få läs- och skrivåtkomst till Azure Cosmos DB Notebooks och injicera och skriva över kod.
Kort sagt, om en angripare hade kunskap om en Notebooks 'forwardingId', som är UUID för Notebook Workspace, skulle de ha haft fullständiga behörigheter på Notebook, inklusive läs- och skrivåtkomst, och möjligheten att ändra filsystemet för behållaren som kör anteckningsboken”, skrev Lidor Ben Shitrit och Roee Sagi från Orca i en teknisk nedgång av sårbarheten. "Genom att modifiera containerfilsystemet - även en dedikerad arbetsyta för temporär värd för bärbara datorer - kunde vi få RCE i notebookbehållaren."
Azure Cosmos DB, en distribuerad NoSQL-databas, är designad för att stödja skalbara, högpresterande appar med hög tillgänglighet och låg latens. Bland dess användningsområden finns för IoT-enhetstelemetri och analys; detaljhandelstjänster i realtid för att köra saker som produktkataloger och AI-drivna personliga rekommendationer; och globalt distribuerade applikationer såsom streamingtjänster, hämtnings- och leveranstjänster och liknande.
Under tiden är Jupyter Notebooks en interaktiv utvecklarmiljö med öppen källkod (IDE) som används av utvecklare, datavetare, ingenjörer och affärsanalytiker för att göra allt från datautforskning och datarensning till statistisk modellering, datavisualisering och maskininlärning. Det är en kraftfull miljö byggd för att skapa, köra och dela dokument med live-kod, ekvationer, visualiseringar och berättande text.
Orca-forskare säger att den här funktionen gör ett fel i autentisering inom Cosmos DB Notebooks särskilt riskabelt, eftersom de "används av utvecklare för att skapa kod och ofta innehåller mycket känslig information som hemligheter och privata nycklar inbäddade i koden."
Felet introducerades på sensommaren, upptäcktes och avslöjades för Microsoft av Orca i början av oktober och åtgärdades inom två dagar. Patchen krävde ingen åtgärd från kunderna att rulla ut på grund av den distribuerade arkitekturen i Cosmos DB.
Inte den första sårbarheten som hittades i Cosmos
Den inbyggda integrationen av Jupyter Notebooks i Azure Cosmos DB är fortfarande en funktion i förhandsgranskningsläge, men detta är definitivt inte det första publicerade felet som finns i det. Förra året forskare med Wiz.io upptäckt en kedja av brister i funktionen som gav alla Azure-användare full administratörsåtkomst till andra kunders Cosmos DB-instanser utan auktorisering. Vid den tiden rapporterade forskare att stora varumärken som Coca-Cola, Kohler, Rolls-Royce, Siemens och Symantec alla hade databasnycklar exponerade.
Risken och effekterna av detta senaste fel är utan tvekan mer begränsade i omfattning än den föregående på grund av ett antal faktorer som MSRC presenterade i en blogg som publicerades på tisdagen.
Enligt MSRC-bloggen avslöjades den exploaterbara buggen i cirka två månader efter att en uppdatering i somras i ett backend-API resulterade i att förfrågningar inte autentiserades ordentligt. Den goda nyheten är att säkerhetsteamet genomförde en grundlig undersökning av aktiviteten och hittade inga tecken på att angripare utnyttjade felet vid den tiden.
"Microsoft genomförde en undersökning av loggdata från 12 augusti till 6 oktober och identifierade inte några brute force-förfrågningar som skulle tyda på skadlig aktivitet." skrev en talesman för MSRC, som också noterade att 99.8 % av Azure Cosmos DB-kunderna ännu inte använder Jupyter Notebooks.
Ytterligare minskad risk är det faktum att forwardingId som används i Orca proof-of-concept har en mycket kort livslängd. Anteckningsböcker körs i en tillfällig anteckningsbokarbetsyta som har en maximal livslängd på en timme, varefter all data i den arbetsytan raderas.
"Den potentiella påverkan är begränsad till läs-/skrivåtkomst för offrets anteckningsböcker under tiden deras tillfälliga arbetsyta för anteckningsböcker är aktiv", förklarade Microsoft. "Sårbarheten, även med kännedom om forwardingId, gav inte möjligheten att köra anteckningsböcker, automatiskt spara anteckningsböcker i offrets (valfritt) anslutna GitHub-lager eller tillgång till data i Azure Cosmos DB-kontot."
