A Microsoft Azure-hoz kapcsolódó, több szolgáltatást érintő új kritikus távoli kódfuttatási hibát (RCE-t) fedeztek fel, ami képes teljesen átvenni az irányítást a célzott alkalmazások felett.
"A sebezhetőséget egy CSRF (cross-site request forgery) révén érik el, a mindenütt jelenlévő SCM szolgáltatáson, a Kudu-n keresztül" - mondta Liv Matan, az Ermetic kutatója a The Hacker News-szal megosztott jelentésében. "A sebezhetőséggel visszaélve, a támadók kártékony, hasznos terhet tartalmazó ZIP-fájlokat telepíthetnek az áldozat Azure-alkalmazásába".
Az izraeli felhőinfrastruktúra-biztonsági cég, amely a hiányosságot EmojiDeploy-nak nevezte el, azt mondta, hogy ez a sebezhetőség továbbá lehetővé teheti az érzékeny adatok ellopását, és az átjárást más Azure-szolgáltatásokba is.
A Microsoft, a 2022. október 26-i közzétételt követően 2022. december 6-án javította a sebezhetőséget, emellett 30 000 dolláros hibajutalmat is kiosztott.
A Windows, a Kudu-t úgy írja le, mint "az Azure App Service számos, forrásvezérlésen alapuló telepítéssel kapcsolatos funkciója mögött álló motort, ami olyan deploy módszerekhez hasonlít, mint amilyet a Dropbox és a OneDrive szinkronizálása is használ”.
Az Ermetic által kidolgozott hipotetikus támadási láncban, egy támadó kihasználhatja a Kudu SCM panel CSRF sebezhetőségét, hogy meghiúsítsa a keresztirányú támadások meghiúsítására bevezetett biztonsági intézkedéseket, azáltal, hogy a "/api/zipdeploy" végpontra egy speciálisan kialakított kérést küld, amely egy rosszindulatú archívumot (pl. web shell-t) szállít, és távoli hozzáférést szerez az adott rendszerek felett.
A Cross-site request forgery, más néven sea surf vagy session riding, egy olyan támadási vektor, amelynek során, egy fenyegető szereplő egy webes alkalmazás hitelesített felhasználóját rászedi arra, hogy jogosulatlan parancsokat hajtson végre a nevében.
A ZIP-fájl, egy a HTTP-kérelem formában van kódolva, ami arra készteti az áldozat alkalmazást, hogy a kiszolgáló azonos eredetű policy-jának megkerülésével, a rosszindulatú programot tároló, a szereplő által irányított tartományba navigáljon.
"A sebezhetőségnek a szervezet egészére gyakorolt hatása, az alkalmazások kezelt identitásának jogosultságaitól függ" - közölte a vállalat. "A legkisebb jogosultság elvének hatékony alkalmazása jelentősen korlátozhatja a kártékonyság hatósugarát".
A sebezhetőségek észlelései, napokkal azután születtek, hogy az Orca Security négy esetben fedezett fel szerveroldali kéréshamisítási (SSRF) támadást, amelyek az Azure API Management, Azure Functions, Azure Machine Learning és Azure Digital Twins rendszereket érintették.
Amennyiben úgy érzi, hogy az Ön rendszere veszélyben van, forduljon hozzánk bizalommal.
Forrást: TheHackerNews