Les analystes d’Orca Security ont découvert une vulnérabilité critique affectant Azure Cosmos DB qui permet un accès non authentifié en lecture et en écriture aux conteneurs.
Baptisé CosMiss, le problème de sécurité concerne les carnets Jupyter intégrés à Azure Cosmos DB qui s’intègrent au portail Azure et aux comptes Azure Cosmos DB pour faciliter l’interrogation, l’analyse et la visualisation des données et des résultats NoSQL.
Azure Cosmos DB est une base de données NoSQL entièrement gérée par Microsoft, qui prend en charge de nombreux types d’API pour des applications de toutes tailles.
Jupyter Notebooks est une plateforme interactive basée sur le web qui permet aux utilisateurs d’accéder aux données de Cosmos DB.
Lorsqu’un utilisateur crée un nouveau carnet de notes sur Azure Cosmos DB, un nouveau point d’accès est créé avec un nouvel identifiant unique de session/carnet de notes. Les chercheurs ont examiné le trafic de la requête d’un ordinateur portable nouvellement créé vers le serveur et ont remarqué l’existence d’un en-tête d’autorisation.
Azure Cosmos DB étant une base de données distribuée sans serveur et entièrement gérée, les corrections sont effectuées côté serveur, de sorte que les utilisateurs n’ont aucune mesure à prendre pour atténuer le risque.