Các nhà nghiên cứu thuộc Trung tâm phản hồi bảo mật của Microsoft (MSRC) và Orca Security đã công bố lại trong tuần này về một lỗ hổng nghiêm trọng trong Microsoft Azure Cosmos DB, lỗ hổng này ảnh hưởng đến tính năng Sổ ghi chép Jupyter của Cosmos DB. Lỗi thực thi mã từ xa (RCE) cung cấp một bức chân dung về cách những kẻ tấn công có thể sử dụng các điểm yếu trong kiến trúc xác thực của môi trường thân thiện với máy học và đám mây gốc.
Được nhóm nghiên cứu của Orca đặt tên là CosMiss, lỗ hổng này có nguyên nhân là do cấu hình sai trong cách xử lý các tiêu đề ủy quyền, cho phép người dùng chưa được xác thực có quyền truy cập đọc và ghi vào Azure Cosmos DB Notebooks cũng như chèn và ghi đè mã.
“Tóm lại, nếu kẻ tấn công biết về 'forwardingId' của Notebook, tức là UUID của Notebook Workspace, thì chúng sẽ có toàn quyền trên Notebook, bao gồm quyền truy cập đọc và ghi cũng như khả năng sửa đổi hệ thống tệp của container chạy cuốn sổ,” Lidor Ben Shitrit và Roee Sagi của Orca đã viết trong một xuống cấp kỹ thuật của lỗ hổng. “Bằng cách sửa đổi hệ thống tệp vùng chứa — hay còn gọi là không gian làm việc dành riêng cho việc lưu trữ sổ ghi chép tạm thời — chúng tôi đã có thể lấy RCE trong vùng chứa sổ ghi chép.”
Cơ sở dữ liệu NoSQL phân tán, Azure Cosmos DB được thiết kế để hỗ trợ các ứng dụng hiệu suất cao, có thể mở rộng với độ khả dụng cao và độ trễ thấp. Trong số các mục đích sử dụng của nó là dành cho phép đo từ xa và phân tích thiết bị IoT; dịch vụ bán lẻ thời gian thực để chạy những thứ như danh mục sản phẩm và đề xuất được cá nhân hóa dựa trên AI; và các ứng dụng được phân phối toàn cầu như dịch vụ phát trực tuyến, dịch vụ nhận và giao hàng, v.v.
Trong khi đó, Jupyter Notebooks là môi trường nhà phát triển tương tác (IDE) nguồn mở được các nhà phát triển, nhà khoa học dữ liệu, kỹ sư và nhà phân tích kinh doanh sử dụng để thực hiện mọi việc, từ khám phá dữ liệu và làm sạch dữ liệu đến lập mô hình thống kê, trực quan hóa dữ liệu và học máy. Đó là một môi trường mạnh mẽ được xây dựng để tạo, thực thi và chia sẻ tài liệu với mã trực tiếp, phương trình, trực quan hóa và văn bản tường thuật.
Các nhà nghiên cứu của Orca nói rằng chức năng này khiến lỗ hổng xác thực trong Cosmos DB Notebook trở nên đặc biệt nguy hiểm, vì chúng “được các nhà phát triển sử dụng để tạo mã và thường chứa thông tin rất nhạy cảm như bí mật và khóa riêng được nhúng trong mã”.
Lỗ hổng được giới thiệu vào cuối mùa hè, được Orca tìm thấy và tiết lộ cho Microsoft vào đầu tháng XNUMX và được khắc phục trong vòng hai ngày. Bản vá không yêu cầu khách hàng thực hiện hành động nào để triển khai do kiến trúc phân tán của Cosmos DB.
Không phải lỗ hổng đầu tiên được tìm thấy trong Cosmos
Việc tích hợp sẵn Jupyter Notebooks vào Azure Cosmos DB vẫn là một tính năng trong chế độ xem trước, nhưng đây chắc chắn không phải là lỗ hổng công khai đầu tiên được tìm thấy trong đó. Các nhà nghiên cứu năm ngoái với Wiz.io phát hiện một chuỗi sai sót trong tính năng cấp cho bất kỳ người dùng Azure nào quyền truy cập đầy đủ của quản trị viên vào các phiên bản Cosmos DB của khách hàng khác mà không được phép. Vào thời điểm đó, các nhà nghiên cứu báo cáo rằng các thương hiệu lớn như Coca-Cola, Kohler, Rolls-Royce, Siemens và Symantec đều bị lộ khóa cơ sở dữ liệu.
Rủi ro và tác động của lỗ hổng mới nhất này được cho là có phạm vi hạn chế hơn so với lỗ hổng trước đó do một số yếu tố MSRC đưa ra trong một blog được xuất bản hôm thứ Ba.
Theo blog MSRC, lỗi có thể khai thác đã lộ ra trong khoảng hai tháng sau khi bản cập nhật vào mùa hè này trong API phụ trợ dẫn đến các yêu cầu không được xác thực chính xác. Tin vui là nhóm bảo mật đã tiến hành điều tra kỹ lưỡng về hoạt động và không tìm thấy bất kỳ dấu hiệu nào cho thấy những kẻ tấn công đang lợi dụng lỗ hổng vào thời điểm đó.
“Microsoft đã tiến hành điều tra dữ liệu nhật ký từ ngày 12 tháng 6 đến ngày XNUMX tháng XNUMX và không xác định được bất kỳ yêu cầu thô bạo nào cho thấy hoạt động độc hại,” người phát ngôn của MSRC đã viết, người cũng lưu ý rằng 99.8% khách hàng Azure Cosmos DB chưa sử dụng Jupyter Notebooks.
Giảm thiểu rủi ro hơn nữa là thực tế là forwardingId được sử dụng trong bằng chứng về khái niệm của Orca có tuổi thọ rất ngắn. Sổ ghi chép được chạy trong không gian làm việc sổ ghi chép tạm thời có thời gian tồn tại tối đa là một giờ, sau đó tất cả dữ liệu trong không gian làm việc đó sẽ bị xóa.
Microsoft giải thích: “Tác động tiềm tàng chỉ giới hạn ở quyền truy cập đọc/ghi sổ ghi chép của nạn nhân trong thời gian không gian làm việc tạm thời của sổ ghi chép của họ đang hoạt động”. “Lỗ hổng, ngay cả khi biết về ForwardingId, không cung cấp khả năng thực thi sổ ghi chép, tự động lưu sổ ghi chép trong kho lưu trữ GitHub được kết nối (tùy chọn) của nạn nhân hoặc truy cập vào dữ liệu trong tài khoản Azure Cosmos DB.”
