Orca Security 的分析师发现了一个影响 Azure Cosmos DB 的严重漏洞,该漏洞允许对容器进行未经身份验证的读写访问。
名为 CosMiss 的安全问题存在于 Azure Cosmos DB 内置的 Jupyter Notebooks,它集成到 Azure 门户和 Azure Cosmos DB 帐户,以便更轻松地查询、分析和可视化 NoSQL 数据和结果。
Azure Cosmos DB 是 Microsoft 完全托管的 NoSQL 数据库,它为各种规模的应用程序提供广泛的 API 类型支持。Jupyter Notebooks 是一个基于 Web 的交互式平台,允许用户访问 Cosmos DB 数据。
Orca Security 的研究人员发现的问题是 Cosmos DB Jupyter Notebooks 缺乏身份验证检查,无法防止未经授权的访问,甚至修改容器(如果它们具有 Notebook Workspace 的 UUID)。
“如果攻击者知道 Notebook 的 ‘forwardingId’,即 Notebook Workspace 的 UUID,他们将拥有 Notebook 的完整权限,而无需进行身份验证,包括读取和写入访问权限” – Orca Security
Orca 的研究人员于 2022 年 10 月 3 日向 Microsoft 报告了他们的发现,软件供应商在 2022 年 10 月 5 日的两天内解决了关键问题。
研究人员今天发布了 针对该漏洞的详细技术文章,并提供了允许代码执行的概念验证 (PoC)。该漏洞利用不再有效,因为微软已经发布了修复程序。
CosMiss 详细信息
当用户在 Azure Cosmos DB 上创建新笔记本时,将创建一个新终结点以及一个唯一的新会话/笔记本 ID (UUIDv4)。
研究人员查看了从新创建的笔记本到服务器的请求流量,并注意到授权标头的存在。
当他们删除此标头并发送列出该服务器上所有笔记本的请求时,分析人员注意到服务器正常响应,因此不需要授权标头。
通过尝试其他类型的包含 JSON 有效负载的其他有效 PUT 请求,Orca 的分析师发现他们可以修改 Notebook 中的代码、覆盖数据、注入新片段或删除它们。
此外,由于前面的命令公开了同一平台上的所有 Notebook ID,因此攻击者可以访问和修改其中的任何一个。
更进一步,攻击者可以通过注入 Python 代码来修改构建 Explorer Dashboard 的文件,然后通过 Azure 界面加载 Cosmos Data Explorer。
加载 Data Explorer 时,Python 代码会自动执行,从而为攻击者提供客户端上的反向 shell。
由于 Azure Cosmos DB 是一个完全托管的无服务器分布式数据库,因此修复发生在服务器端,因此用户无需采取任何措施来降低风险。
11 月 1 日更新:微软的安全响应中心也发布了一份关于此修复的报告,强调只有极少数用户实际上受到了该问题的影响。
“不使用 Jupyter Notebooks 的客户(99.8% 的 Azure Cosmos DB 客户不使用 Jupyter notebooks)不易受到此漏洞的影响,” Microsoft 解释说。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软修复了影响Azure Cosmos DB的关键RCE漏洞
