Microsoft Azure ile ilgili birden fazla hizmeti etkileyen keşfedilen yeni bir kritik uzaktan kod yürütme (RCE) kusuru, kötü niyetli bir aktör tarafından hedeflenen bir uygulamanın kontrolünü tamamen ele geçirmek için kullanılabilir.
“Güvenlik açığı yoluyla elde edilir CSRF (siteler arası istek sahteciliği) her yerde bulunan SCM hizmeti Kudu’da,” Ermetic araştırmacısı Liv Matan dedim The Hacker News ile paylaşılan bir raporda. “Saldırganlar, güvenlik açığını kötüye kullanarak, kurbanın Azure uygulamasına yük içeren kötü amaçlı ZIP dosyalarını dağıtabilir.”
Eksikliği adlandıran İsrail bulut altyapısı güvenlik firması EmojiDağıtımıhassas verilerin çalınmasına ve diğer Azure hizmetlerine yatay geçişe daha fazla olanak sağlayabileceğini söyledi.
Microsoft, 26 Ekim 2022’deki sorumlu açıklamanın ardından 6 Aralık 2022 itibarıyla güvenlik açığını düzeltti ve ayrıca 30.000 ABD Doları tutarında bir hata ödülü verdi.
Windows yapımcısı tarif eder Kudu, “Azure Uygulama Hizmeti’nde kaynak denetimi tabanlı dağıtım ve Dropbox ve OneDrive eşitlemesi gibi diğer dağıtım yöntemleriyle ilgili bir dizi özelliğin arkasındaki motor” olarak anılır.
Ermetic tarafından tasarlanan varsayımsal bir saldırı zincirinde, bir düşman, Kudu SCM panelindeki CSRF güvenlik açığından yararlanarak güvenlik önlemlerini bozabilir. kökenler arası saldırılar “/api/zipdeploy” uç noktasına kötü amaçlı bir arşiv (ör. web kabuğu) göndermek ve uzaktan erişim elde etmek için özel olarak hazırlanmış bir istek göndererek.
Denizde gezinme veya oturum sürme olarak da bilinen siteler arası istek sahteciliği, bir tehdit aktörünün bir web uygulamasının kimliği doğrulanmış bir kullanıcısını kandırıp onlar adına yetkisiz komutlar yürütmesi için kandırdığı bir saldırı vektörüdür.
ZIP dosyası, kendi adına, HTTP isteğinin gövdesinde kodlanır ve kurban uygulamadan, kötü amaçlı yazılımı barındıran bir aktör-kontrol alanına gitmesini ister. aynı kaynak politikası kalp ameliyati.
Şirket, “Güvenlik açığının bir bütün olarak kuruluş üzerindeki etkisi, uygulamanın yönetilen kimliğinin izinlerine bağlıdır” dedi. “En az ayrıcalık ilkesini etkili bir şekilde uygulamak, patlama yarıçapını önemli ölçüde sınırlayabilir.”
Bulgular, Orca Security’nin Azure API Management, Azure Functions, Azure Machine Learning ve Azure Digital Twins’i etkileyen dört sunucu tarafı istek sahteciliği (SSRF) saldırısı örneğini ortaya çıkarmasından günler sonra geldi.