Microsoft Security Response Center (MSRC) ve Orca Security'den araştırmacılar, bu hafta Microsoft Azure Cosmos DB'deki Cosmos DB Jupyter Notebooks özelliğini etkileyen kritik bir güvenlik açığını örtbas ettiler. Uzaktan kod yürütme (RCE) hatası, bulut tabanlı ve makine öğrenimi dostu ortamların kimlik doğrulama mimarisindeki zayıflıkların saldırganlar tarafından nasıl kullanılabileceğine dair bir portre sunuyor.
Orca'nın araştırma ekibi tarafından CosMiss olarak adlandırılan güvenlik açığı, yetkilendirme üstbilgilerinin işlenme biçimindeki bir yanlış yapılandırmaya indirgeniyor; bu, kimliği doğrulanmamış kullanıcıların Azure Cosmos DB Not Defterlerine okuma ve yazma erişimi kazanmasına ve kod enjekte etmesine ve üzerine yazmasına olanak tanıyor.
"Kısacası, bir saldırgan Not Defteri Çalışma Alanının UUID'si olan 'forwardingId' bilgisine sahip olsaydı, Not Defteri üzerinde okuma ve yazma erişimi ve dosya sistemini değiştirme yeteneği dahil olmak üzere tüm izinlere sahip olurdu. Orca'dan Lidor Ben Shitrit ve Roee Sagi, not defterini çalıştıran konteyner" diye yazmıştı. teknik döküm güvenlik açığı. "Geçici dizüstü bilgisayar barındırma için ayrılmış çalışma alanı olarak da bilinen kapsayıcı dosya sistemini değiştirerek, dizüstü bilgisayar kapsayıcısında RCE elde edebildik."
Dağıtılmış bir NoSQL veritabanı olan Azure Cosmos DB, yüksek kullanılabilirliğe ve düşük gecikmeye sahip ölçeklenebilir, yüksek performanslı uygulamaları desteklemek için tasarlanmıştır. Kullanımları arasında IoT cihaz telemetrisi ve analitiği; ürün katalogları ve yapay zeka odaklı kişiselleştirilmiş öneriler gibi şeyleri yürütmek için gerçek zamanlı perakende hizmetleri; ve akış hizmetleri, teslim alma ve teslim hizmetleri ve benzerleri gibi küresel olarak dağıtılan uygulamalar.
Bu arada Jupyter Notebooks, geliştiriciler, veri bilimcileri, mühendisler ve iş analistleri tarafından veri keşfi ve veri temizlemeden istatistiksel modellemeye, veri görselleştirmeye ve makine öğrenimine kadar her şeyi yapmak için kullanılan açık kaynaklı bir etkileşimli geliştirici ortamıdır (IDE). Canlı kod, denklemler, görselleştirmeler ve anlatı metni içeren belgeler oluşturmak, yürütmek ve paylaşmak için oluşturulmuş güçlü bir ortamdır.
Orca araştırmacıları, "geliştiriciler tarafından kod oluşturmak için kullanıldıkları ve genellikle koda katıştırılmış sırlar ve özel anahtarlar gibi oldukça hassas bilgiler içerdikleri" için, bu işlevin Cosmos DB Not Defterleri içindeki kimlik doğrulamasındaki bir kusuru özellikle riskli hale getirdiğini söylüyor.
Kusur yaz sonunda ortaya çıktı, Ekim başında Orca tarafından bulunup Microsoft'a açıklandı ve iki gün içinde düzeltildi. Cosmos DB'nin dağıtılmış mimarisi nedeniyle, yamanın kullanıma sunulması için müşterilerin herhangi bir işlem yapması gerekmiyordu.
Cosmos'ta Bulunan İlk Güvenlik Açığı Değil
Jupyter Not Defterlerinin Azure Cosmos DB ile yerleşik tümleştirmesi hâlâ önizleme modunda olan bir özelliktir, ancak bu kesinlikle içinde bulunan ve duyurulan ilk kusur değildir. Wiz.io ile geçen yıl araştırmacılar keşfetti herhangi bir Azure kullanıcısına diğer müşterilerin Cosmos DB örneklerine yetkilendirme olmadan tam yönetici erişimi sağlayan bir özellikteki kusurlar zinciri. O zamanlar araştırmacılar, Coca-Cola, Kohler, Rolls-Royce, Siemens ve Symantec gibi büyük markaların hepsinin veritabanı anahtarlarının açığa çıktığını bildirdi.
MSRC'nin Salı günü yayınlanan bir blogda ortaya koyduğu bir dizi faktör nedeniyle, bu son kusurun risk ve etkilerinin kapsamının bir öncekinden daha sınırlı olduğu tartışılabilir.
MSRC bloguna göre, kötüye kullanılabilir hata, bu yaz bir arka uç API'sinde yapılan bir güncellemenin, isteklerin doğru şekilde doğrulanmamasına neden olmasından sonra yaklaşık iki ay boyunca açığa çıktı. İyi haber şu ki, güvenlik ekibi kapsamlı bir etkinlik araştırması yürüttü ve o sırada saldırganların kusurdan yararlandığına dair herhangi bir işaret bulamadı.
"Microsoft, 12 Ağustos - 6 Ekim tarihleri arasında günlük verileri üzerinde bir araştırma yürüttü ve kötü niyetli faaliyeti gösterecek herhangi bir kaba kuvvet talebi tespit etmedi." bir MSRC sözcüsü yazdıAzure Cosmos DB müşterilerinin %99.8'inin henüz Jupyter Not Defterleri kullanmadığını da belirten.
Orca kavram kanıtlamasında kullanılan forwardingId'nin çok kısa bir ömre sahip olması, riski daha da hafifletir. Not defterleri, maksimum bir saatlik kullanım ömrüne sahip geçici bir not defteri çalışma alanında çalıştırılır ve ardından bu çalışma alanındaki tüm veriler silinir.
Microsoft, "Potansiyel etki, geçici not defterleri çalışma alanının etkin olduğu süre boyunca kurbanın not defterlerine okuma/yazma erişimiyle sınırlıdır" diye açıkladı. "Güvenlik açığı, forwardingId bilgisi olsa bile not defterlerini yürütme, not defterlerini kurbanın (isteğe bağlı) bağlı GitHub deposuna otomatik olarak kaydetme veya Azure Cosmos DB hesabındaki verilere erişim sağlamadı."
