مائیکروسافٹ سیکیورٹی رسپانس سینٹر (ایم ایس آر سی) اور اورکا سیکیورٹی کے محققین نے اس ہفتے مائیکروسافٹ Azure Cosmos DB میں ایک اہم خطرے کے بارے میں کور واپس کھینچ لیا جو اس کے Cosmos DB Jupyter Notebooks کی خصوصیت کو متاثر کرتا ہے۔ ریموٹ کوڈ ایگزیکیوشن (RCE) بگ اس بات کا پورٹریٹ فراہم کرتا ہے کہ کس طرح کلاؤڈ-آبائی اور مشین لرننگ فرینڈلی ماحول کے تصدیقی فن تعمیر میں کمزوریوں کو حملہ آور استعمال کر سکتے ہیں۔
Orca کی تحقیقی ٹیم کے ذریعے CosMiss ڈب کیا گیا، یہ کمزوری اس غلط کنفیگریشن پر ابلتی ہے کہ کس طرح اجازت نامے کے ہیڈرز کو ہینڈل کیا جاتا ہے، جس سے غیر تصدیق شدہ صارفین Azure Cosmos DB نوٹ بک تک پڑھنے اور لکھنے تک رسائی حاصل کرتے ہیں، اور کوڈ کو انجیکشن اور اوور رائٹ کرتے ہیں۔
"مختصر طور پر، اگر کسی حملہ آور کو نوٹ بک کی 'فارورڈنگ آئی ڈی' کا علم ہوتا، جو کہ نوٹ بک ورک اسپیس کا UUID ہے، تو اس کے پاس نوٹ بک پر مکمل اجازت ہوتی، بشمول پڑھنے اور لکھنے کی رسائی، اور فائل سسٹم میں ترمیم کرنے کی صلاحیت۔ کنٹینر جو نوٹ بک چلا رہا ہے،" ایک میں اورکا کے Lidor Ben Shitrit اور Roee Sagi نے لکھا تکنیکی رن ڈاؤن خطرے کی. "کنٹینر فائل سسٹم میں ترمیم کر کے — عرف عارضی نوٹ بک ہوسٹنگ کے لیے وقف شدہ ورک اسپیس — ہم نوٹ بک کنٹینر میں RCE حاصل کرنے کے قابل ہو گئے۔"
ایک تقسیم شدہ NoSQL ڈیٹا بیس، Azure Cosmos DB اعلی دستیابی اور کم تاخیر کے ساتھ توسیع پذیر، اعلی کارکردگی والی ایپس کو سپورٹ کرنے کے لیے ڈیزائن کیا گیا ہے۔ اس کے استعمال میں سے IoT ڈیوائس ٹیلی میٹری اور اینالیٹکس ہیں۔ پروڈکٹ کیٹلاگ اور AI سے چلنے والی ذاتی سفارشات جیسی چیزوں کو چلانے کے لیے ریئل ٹائم ریٹیل سروسز؛ اور عالمی سطح پر تقسیم شدہ ایپلی کیشنز جیسے کہ سٹریمنگ سروسز، پک اپ اور ڈیلیوری سروسز، اور اس طرح۔
اس دوران، Jupyter Notebooks ایک اوپن سورس انٹرایکٹو ڈویلپر ماحول (IDE) ہے جسے ڈویلپرز، ڈیٹا سائنسدانوں، انجینئرز، اور کاروباری تجزیہ کار ڈیٹا کی تلاش اور ڈیٹا کی صفائی سے لے کر شماریاتی ماڈلنگ، ڈیٹا ویژولائزیشن، اور مشین لرننگ تک سب کچھ کرنے کے لیے استعمال کرتے ہیں۔ یہ ایک طاقتور ماحول ہے جو لائیو کوڈ، مساوات، تصورات، اور بیانیہ متن کے ساتھ دستاویزات کی تخلیق، عمل درآمد اور اشتراک کے لیے بنایا گیا ہے۔
اورکا کے محققین کا کہنا ہے کہ یہ فعالیت Cosmos DB Notebooks کے اندر توثیق میں خامی پیدا کرتی ہے، خاص طور پر خطرناک، کیونکہ وہ "ڈیولپرز کوڈ بنانے کے لیے استعمال کرتے ہیں اور اکثر انتہائی حساس معلومات پر مشتمل ہوتے ہیں جیسے کہ کوڈ میں سرایت شدہ راز اور نجی کلید۔"
یہ خامی موسم گرما کے آخر میں متعارف کرائی گئی تھی، اکتوبر کے اوائل میں Orca کے ذریعے مائیکروسافٹ کو مل گئی اور اس کا انکشاف کیا گیا، اور دو دن کے اندر اسے ٹھیک کر دیا گیا۔ Cosmos DB کے تقسیم شدہ فن تعمیر کی وجہ سے پیچ کو صارفین سے رول آؤٹ کرنے کے لیے کسی کارروائی کی ضرورت نہیں تھی۔
Cosmos میں پائی جانے والی پہلی کمزوری نہیں۔
Azure Cosmos DB میں Jupyter Notebooks کا بلٹ ان انضمام ابھی بھی پیش نظارہ موڈ میں ایک خصوصیت ہے، لیکن یہ یقینی طور پر اس میں پائی جانے والی پہلی تشہیر شدہ خامی نہیں ہے۔ Wiz.io کے ساتھ پچھلے سال محققین دریافت اس خصوصیت میں خامیوں کا ایک سلسلہ جس نے کسی بھی Azure صارف کو بغیر اجازت کے دوسرے صارفین کے Cosmos DB مثالوں تک مکمل ایڈمن تک رسائی فراہم کی۔ اس وقت، محققین نے رپورٹ کیا کہ بڑے برانڈز جیسے کوکا کولا، کوہلر، رولز روائس، سیمنز، اور سیمنٹیک سبھی کے پاس ڈیٹا بیس کیز موجود تھیں۔
منگل کو شائع ہونے والے ایک بلاگ میں MSRC کے متعدد عوامل کی وجہ سے اس تازہ ترین خامی کا خطرہ اور اثرات سابقہ کے مقابلے میں دائرہ کار میں زیادہ محدود ہیں۔
ایم ایس آر سی بلاگ کے مطابق، اس موسم گرما میں بیک اینڈ API میں اپ ڈیٹ کے بعد تقریباً دو ماہ تک استحصالی بگ بے نقاب ہوا جس کے نتیجے میں درخواستوں کی صحیح طور پر توثیق نہیں کی گئی۔ اچھی خبر یہ ہے کہ سیکیورٹی ٹیم نے سرگرمی کی مکمل چھان بین کی اور اس وقت حملہ آوروں کے اس خامی سے فائدہ اٹھانے کے کوئی آثار نہیں ملے۔
"مائیکروسافٹ نے 12 اگست سے 6 اکتوبر تک لاگ ڈیٹا کی تحقیقات کی اور کسی بھی بری فورس کی درخواستوں کی نشاندہی نہیں کی جو بدنیتی پر مبنی سرگرمی کی نشاندہی کرتی ہو،" MSRC کے ترجمان نے لکھاجس نے یہ بھی نوٹ کیا کہ Azure Cosmos DB کے 99.8% صارفین ابھی تک Jupyter Notebooks استعمال نہیں کرتے ہیں۔
خطرے کو مزید کم کرنا یہ حقیقت ہے کہ Orca پروف آف تصور میں استعمال ہونے والی فارورڈنگ آئی ڈی کی عمر بہت کم ہے۔ نوٹ بک ایک عارضی نوٹ بک ورک اسپیس میں چلائی جاتی ہیں جس کی زیادہ سے زیادہ زندگی ایک گھنٹہ ہوتی ہے، جس کے بعد اس ورک اسپیس میں موجود تمام ڈیٹا کو حذف کردیا جاتا ہے۔
مائیکروسافٹ نے وضاحت کی کہ "ممکنہ اثر متاثرہ کی نوٹ بک کے پڑھنے/لکھنے تک اس وقت تک محدود ہے جب ان کی عارضی نوٹ بک کی ورک اسپیس فعال ہوتی ہے۔" "خطرے نے، فارورڈنگ آئی ڈی کے علم کے باوجود، نوٹ بک کو عمل میں لانے، خودکار طور پر متاثرہ کے (اختیاری) منسلک GitHub ریپوزٹری میں نوٹ بک کو محفوظ کرنے، یا Azure Cosmos DB اکاؤنٹ میں ڈیٹا تک رسائی کی صلاحیت نہیں دی۔"
