Microsoft, şirketin bulut barındırma altyapısının Azure Service Fabric bileşeninde araştırmacıların “tehlikeli” bir kusur olarak adlandırdığı şeyi düzeltti. Eğer kötüye kullanılırsa, kimliği doğrulanmamış, kötü niyetli bir aktörün platformda barındırılan bir kapsayıcıda kod yürütmesine izin verirdi.
Araştırmacılar, Orca Security’den araştırmacıların Aralık ayında Super FabriXss olarak adlandırdıkları siteler arası komut dosyası çalıştırma (XSS) kusurunu keşfettiklerini ve Microsoft’a bildirdiklerini ve Microsoft’un Mart’ın Salı Yaması güncellemelerinde bir düzeltme yayınladığını söylediler. bir blog yazısında 30 Mart’ta yayınlandı ve hatanın teknik ayrıntılarını ortaya çıkardı.
Ayrıca saldırganların, Azure Service Fabric Explorer 9.1.1436.9590 veya önceki sürümlerini istismara karşı savunmasız hale getiren kusurdan nasıl yararlanabileceğini gösterdiler. Microsoft’ta sunum BlueHat IL 2023 Bugün Tel Aviv’de.
Super FabriXss, şu şekilde izlenir: CVE-2023-23383 CVSS derecesi 8,2 olan bu, Orca araştırmacılarının Azure Service Fabric Explorer’da keşfettiği şimdiye kadarki ikinci XSS hatasıdır. Microsoft’un Azure bulut bilgi işlem platformunun bir parçası olan Azure Hizmeti, büyük ölçekli dağıtılmış sistemlerde durum bilgisi olmayan ve durum bilgisi olan mikro hizmetlerin ve kapsayıcıların paketlenmesini, devreye alınmasını ve yönetilmesini sağlar.
FabriXss olarak adlandırılan ilk XSS güvenlik açığı ve Orca araştırmacıları tarafından detaylandırılmıştır Araştırmacılar, Ekim ayında halefi kadar ciddi bir risk oluşturmadığını söyledi. Yine Microsoft tarafından Salı Yaması güncelleştirmesiyle hızlı bir şekilde yama uygulanan FabriXss, bir saldırganın Service Fabric kümesinde tam yönetici izinleri kazanmasına izin verirdi.
Super FabriXss’ten Yararlanma
Super FabriXss ile kimliği doğrulanmamış uzak bir saldırgan, Service Fabric düğümlerinden birinde barındırılan bir kapsayıcıda kod yürütebilir; Orca Güvenlik, gönderide yazdı.
Shitrit, Dark Reading’e, Super FabriXss kullanan bir saldırganın, tıklandığında çok adımlı bir süreci başlatan ve sonunda küme düğümlerinden birinde zararlı bir kapsayıcının oluşturulmasına ve konuşlandırılmasına yol açan kötü amaçlı bir URL oluşturabileceğini söylüyor.
Araştırmacılar, BlueHat’ta, ölçüm sekmesini kötüye kullanarak ve konsolda belirli bir seçeneği etkinleştirerek Azure Service Fabric Explorer’daki yansıyan bir XSS güvenlik açığını kimliği doğrulanmamış bir RCE’ye nasıl yükseltebileceklerini gösterdiler: Shitrit, gönderide “Küme Türü” geçişini yazdı.
Dark Reading’e “Bu güvenlik açığından yararlanmak için, bir kurbanın (kimliği doğrulanmış bir Service Fabric Explorer kullanıcısı) önce kötü amaçlı URL’yi tıklaması ve ardından Olaylar sekmesi altındaki Küme Türü’nü tıklaması için yönlendirilmesi gerekir” diye açıklıyor. “Bir kez istismar edildikten sonra, hassas küme verileri saldırgana gösterilebilir ve potansiyel olarak saldırıyı daha geniş bir yüzeye yaymalarına olanak tanır.”
Shitrit gönderide, güvenlik açığının kendisinin, kullanıcının bağlamına bir iframe yerleştirmek için yararlanılabilen savunmasız bir “Düğüm Adı” parametresinden kaynaklandığını söyledi. Bu iframe daha sonra saldırgan tarafından kontrol edilen bir sunucudan uzak dosyaları alır ve sonunda kötü amaçlı bir PowerShell ters kabuğunun yürütülmesine yol açar.
“Bu saldırı zinciri, en sonunda kapsayıcıda uzaktan kod yürütülmesine neden olabilir. [that] potansiyel olarak bir saldırganın kritik sistemlerin kontrolünü ele geçirmesine izin verecek şekilde kümeye konuşlandırıldı” diye yazdı.
Azaltma ve Azure Kullanıcıları İçin Etkileri
Araştırmacılar, Orca’nın güvenlik açığını Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) 20 Aralık’ta bildirdiğini ve konuyla ilgili soruşturmanın 31 Aralık’ta başladığını söyledi. Orca araştırmacıları ve MSRC, Microsoft’un CVE-2023-23383’ü güvenlik açığına atamasından ve 14 Mart’ta müşteriler için sorunu otomatik olarak düzelten bir yama yayınlamasından önce, kusurun etkisi hakkında birkaç kez iletişim kurdu.
Dark Reading’e, Azure Service Fabric kullanıcıları tarafından başka bir işlem yapılması gerekmese de kusurun, bir kuruluşun dağıttığı bulut tabanlı mimarilerdeki yama uygulanmamış kusurların doğasında var olan tehlikeyi bir kez daha vurguladığını söylüyor. Shitrit, bu güvenlik açıklarının “şirket içi çözümlere kıyasla daha yüksek riskler oluşturabileceğini” söylüyor.
“Bulut tabanlı sistemlerle, kuruluşlar genellikle üçüncü taraf sağlayıcılara bağımlıdır, bu da daha geniş bir saldırı yüzeyine ve güvenlik önlemleri üzerinde daha az kontrole yol açar” diye ekliyor. “Ayrıca, bulut ortamlarının çok kiracılı doğasını ve kiracılar arasında uygun izolasyonu korumanın önemini dikkate almak önemlidir.”
Super FabriXss gibi bulut tabanlı kusurların ortaya çıkardığı riskleri ele almak için, kuruluşların bir bulut güvenlik hijyeni rejimi sürdürmelerini öneriyor. Shitrit, bunun düzenli olarak yamaları uygulamayı, güvenliği izlemeyi, güvenlik açıklarını ele almayı, çalışanları en iyi uygulamalar konusunda eğitmeyi, ağ bölümlendirmeyi uygulamayı, en az ayrıcalıklı izinleri zorlamayı, sağlayıcılarla işbirliği yapmayı ve sağlam bir olay müdahale planı oluşturmayı içerdiğini söylüyor.
“Bu birleşik çabalar, güvenli ve dayanıklı bir bulut ortamının sağlanmasına yardımcı oluyor” diyor.
