Se ha encontrado que cuatro servicios diferentes de Microsoft Azure son vulnerables a la falsificaci\u00f3n de solicitudes del lado del servidor (SSRF<\/a>) ataques que podr\u00edan explotarse para obtener acceso no autorizado a los recursos de la nube.<\/p>\n Los problemas de seguridad, que fueron descubiertos por Orca entre el 8 de octubre de 2022 y el 2 de diciembre de 2022 en Azure API Management, Azure Functions, Azure Machine Learning y Azure Digital Twins, han sido abordados desde entonces por Microsoft.<\/p>\n “Las vulnerabilidades descubiertas de Azure SSRF permitieron a un atacante escanear puertos locales, encontrar nuevos servicios, puntos finales y archivos confidenciales, lo que proporcion\u00f3 informaci\u00f3n valiosa sobre servidores y servicios posiblemente vulnerables para explotar para la entrada inicial y la ubicaci\u00f3n de la informaci\u00f3n confidencial”, dijo el investigador de Orca. Por Lidor Ben Shitrit dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Se podr\u00eda abusar de dos de las vulnerabilidades que afectan a Azure Functions y Azure Digital Twins sin requerir ninguna autenticaci\u00f3n, lo que permite a un actor de amenazas tomar el control de un servidor sin siquiera tener una cuenta de Azure en primer lugar.<\/p>\n Los ataques SSRF podr\u00edan haber consecuencias graves<\/a> ya que permiten que un intruso malicioso lea o actualice los recursos internos y, lo que es peor, pase a otras partes de la red, infrinja sistemas que de otro modo ser\u00edan inalcanzables para extraer datos valiosos.<\/p>\n Tres de las fallas tienen una gravedad importante, mientras que la falla SSRF que afecta a Azure Machine Learning tiene una gravedad baja. Todas las debilidades se pueden aprovechar para manipular un servidor para montar m\u00e1s ataques contra un objetivo susceptible.<\/p>\n Un breve resumen de las cuatro vulnerabilidades es el siguiente:<\/p>\n Para mitigar tales amenazas, se recomienda a las organizaciones que validen todas las entradas, se aseguren de que los servidores est\u00e9n configurados para permitir solo el tr\u00e1fico entrante y saliente necesario, eviten las configuraciones incorrectas y se adhieran al principio de privilegio m\u00ednimo (PoLP<\/a>).<\/p>\n “El aspecto m\u00e1s notable de estos descubrimientos es posiblemente la cantidad de vulnerabilidades de SSRF que pudimos encontrar con solo un esfuerzo m\u00ednimo, lo que indica solo qu\u00e9 tan frecuentes son<\/a> y el riesgo que representan en entornos de nube”, dijo Ben Shitrit.<\/p>\n <\/p>\n\n