Azure Cosmos DB存在重大漏洞

关键要点

• 研究人员发现了Azure Cosmos DB中的“CosMiss”漏洞，允许攻击者在未认证的情况下获得笔记本的完全权限。
• Microsoft在发现漏洞后仅用了两天时间修复。
• 漏洞可能导致敏感信息泄露，尤其是当攻击者能够修改代码时。

研究人员在周二报告称，Azure Cosmos DB中存在一个“极其重要”的漏洞。这是微软旗下的NoSQL数据库，用于应用开发，此漏洞表现在CosmosDB Notebooks中缺少身份验证检查。

在一篇中，OrcaSecurity的研究人员表示，这个被称为“CosMiss”的漏洞使攻击者只需知道笔记本的forwardingID（笔记本工作区的全球唯一标识符），就可以在未进行身份验证的情况下获得对笔记本的完全权限。攻击者可以进行读写访问，并且能够修改运行笔记本的容器的文件系统。

通过修改容器的文件系统，Orca的研究人员称他们能够在笔记本容器中获得（RCE）。一旦发现这个漏洞，Orca立即报告给微软安全响应中心（MSRC），该中心在两天内修复了这一关键问题。研究人员表示，这两天的修复时间“令人印象深刻”，且比他们之前在发现的SynLapse漏洞的修复速度快得多。

Orca Security联合创始人兼首席执行官Avi Shua表示：“Cosmos DB JupyterNotebooks缺乏身份验证检查特别危险，因为开发人员使用Cosmos DBNotebooks来创建代码，并且这些代码中通常包含高度敏感的信息，例如嵌入在代码中的密钥和凭据。”

在今天早些时候发布的中，微软表示，该漏洞最早于8月12日被引入，并于10月6日在全球范围内修复，同时在两者之间对日志数据的调查显示没有证据表明发生了利用该漏洞的暴力破解攻击。

该科技巨头淡化了潜在影响，称该漏洞难以利用，绝大多数Azure Cosmos DB用户并不使用Jupyternotebooks，且这些笔记本会每小时自动删除工作区和数据。微软似乎也对OrcaSecurity研究人员的声明表示质疑，称其未能提供攻击者远程代码执行的能力。

微软写道：“潜在影响仅限于在他们的临时笔记本工作区激活期间（最大1小时）对受害者笔记本的读写访问。即便知道forwardingId，也无法执行笔记本、自动保存受到影响者（可选）连接的GitHub存储库中的笔记本，或访问AzureCosmos DB帐户中的数据。”

微软曾与第三方研究人员就其产品中发现的漏洞的潜在影响发生过争执，部分安全专家对SC媒体表示，影响可能会更深远。

Inversion6首席信息安全官Craig Burland表示，根据Cosmos DBNotebooks的使用情况，CosMiss漏洞可能对众多组织产生重大影响。他说，如果黑客能够获得访问权限并修改代码或窃取在笔记本中存储的秘密，则该漏洞可能会引发多轮供应链攻击。考虑到导向暗网的被盗凭据的普遍性，利用这一漏洞的潜在机会看起来相当高，Burland补充道。

“微软的快速响应似乎证实了这一威胁。”Burland表示。“防止此类情况的发生归根结底在于真正接受‘安全设计’概念和零信任原则。”他补充道：“集成Jupyter和CosmosDB的基本要求之一是‘只有经过身份验证的用户才能访问笔记本。’这个要求应该与所有实现项目价值的功能需求并排而坐。”

Tigera的总裁兼首席执行官Ratan Tipirneni表示，如果Cos