Дослідники з Microsoft Security Response Center (MSRC) і Orca Security цього тижня прикрили критичну вразливість у Microsoft Azure Cosmos DB, яка впливає на її функцію Cosmos DB Jupyter Notebooks. Помилка віддаленого виконання коду (RCE) дає портрет того, як зловмисники можуть використовувати слабкі місця в архітектурі автентифікації хмарних і дружніх до машинного навчання середовищ.
Уразливість, яку дослідницька група Orca назвала CosMiss, зводиться до неправильної конфігурації в тому, як обробляються заголовки авторизації, що дозволяє неавтентифікованим користувачам отримати доступ для читання та запису в блокноти Azure Cosmos DB, а також вставляти та перезаписувати код.
«Коротше кажучи, якби зловмисник знав «forwardingId» блокнота, який є UUID робочого простору блокнота, він мав би повні дозволи на блокнот, включаючи доступ для читання та запису, а також можливість змінювати файлову систему контейнер, який керує блокнотом», – написали Лідор Бен Шитріт і Ро Сагі з Orca у технічний зношення вразливості. «Змінивши файлову систему контейнера — також виділену робочу область для тимчасового розміщення ноутбуків — ми змогли отримати RCE у контейнері ноутбука».
Розподілена база даних NoSQL, Azure Cosmos DB розроблена для підтримки масштабованих, високопродуктивних програм із високою доступністю та низькою затримкою. Серед його застосувань — телеметрія й аналітика пристроїв Інтернету речей; послуги роздрібної торгівлі в режимі реального часу для запуску таких речей, як каталоги продуктів і персоналізовані рекомендації на основі ШІ; і глобально розповсюджені програми, такі як потокові служби, служби самовивозу та доставки тощо.
Тим часом Jupyter Notebooks — це інтерактивне середовище розробника (IDE) з відкритим вихідним кодом, яке використовується розробниками, науковцями з обробки даних, інженерами та бізнес-аналітиками для виконання будь-яких завдань: від дослідження та очищення даних до статистичного моделювання, візуалізації даних і машинного навчання. Це потужне середовище, створене для створення, виконання та обміну документами з живим кодом, рівняннями, візуалізаціями та описовим текстом.
Дослідники Orca кажуть, що ця функція робить недолік автентифікації в Cosmos DB Notebooks особливо ризикованим, оскільки вони «використовуються розробниками для створення коду та часто містять дуже конфіденційну інформацію, таку як секрети та закриті ключі, вбудовані в код».
Недолік було виявлено наприкінці літа, Orca виявила та повідомила Microsoft на початку жовтня та виправила протягом двох днів. Через розподілену архітектуру Cosmos DB для розгортання патча не потрібно було жодних дій від клієнтів.
Не перша вразливість, знайдена в Cosmos
Вбудована інтеграція Jupyter Notebooks в Azure Cosmos DB все ще є функцією в режимі попереднього перегляду, але це точно не перша оприлюднена вада, виявлена в ній. Торішні дослідники з Wiz.io відкритий ланцюжок недоліків у функції, які надавали будь-якому користувачеві Azure повний адміністративний доступ до екземплярів Cosmos DB інших клієнтів без авторизації. У той час дослідники повідомляли, що такі великі бренди, як Coca-Cola, Kohler, Rolls-Royce, Siemens і Symantec, розкрили ключі бази даних.
Ризик і наслідки цієї останньої вади, мабуть, більш обмежені за обсягом, ніж попередня, через ряд факторів, які MSRC виклав у блозі, опублікованому у вівторок.
Відповідно до блогу MSRC, помилка, яка може використовуватися, була виявлена приблизно через два місяці після того, як цього літа оновлення API серверної частини призвело до того, що запити не перевірялися належним чином. Хороша новина полягає в тому, що команда безпеки провела ретельне розслідування активності і не виявила жодних ознак того, що зловмисники використовували недолік.
«Microsoft провела розслідування даних журналу з 12 серпня по 6 жовтня та не виявила жодних запитів грубої сили, які б вказували на зловмисну активність», написав представник MSRC, який також зазначив, що 99.8% клієнтів Azure Cosmos DB ще не використовують Jupyter Notebooks.
Крім того, цей ризик зменшує той факт, що ідентифікатор пересилання, який використовується в підтвердженні концепції Orca, має дуже короткий термін служби. Ноутбуки запускаються в тимчасовому робочому просторі блокнота, який має максимальний термін служби одну годину, після чого всі дані в цьому робочому просторі видаляються.
«Потенційний вплив обмежується доступом для читання/запису в блокнотах жертви, поки активна робоча область тимчасових блокнотів», — пояснили в Microsoft. «Уразливість, навіть якщо було відомо про ідентифікатор пересилання, не давала можливості виконувати блокноти, автоматично зберігати блокноти в (необов’язковому) підключеному репозиторії GitHub або отримати доступ до даних в обліковому записі Azure Cosmos DB».
