Trois nouvelles failles de sécurité ont été révélées dans le service Microsoft Azure API Management qui pourraient être exploitées par des acteurs malveillants pour accéder à des informations sensibles ou à des services backend.
Cela inclut deux failles de falsification de requête côté serveur (SSRF) et une instance de fonctionnalité de téléchargement de fichiers sans restriction dans le portail des développeurs API Management, selon la société israélienne de sécurité cloud Ermetic.
« En abusant des vulnérabilités SSRF, les attaquants pourraient envoyer des requêtes à partir du proxy CORS du service et du proxy d’hébergement lui-même, accéder aux ressources Azure internes, refuser le service et contourner les pare-feu des applications Web », a déclaré la chercheuse en sécurité Liv Matan dans un communiqué. rapport partagé avec The Hacker News.
« Avec la traversée du chemin de téléchargement de fichiers, les attaquants pourraient télécharger des fichiers malveillants sur la charge de travail interne hébergée d’Azure. »
Azure API Management est un plateforme de gestion multicloud qui permet aux organisations d’exposer en toute sécurité leurs API à des clients externes et internes et de permettre une large gamme d’expériences connectées.
Sur les deux failles SSRF identifiées par Ermetic, l’une d’elles est un contournement d’un correctif mis en place par Microsoft pour remédier à une vulnérabilité similaire rapporté par Orque plus tôt cette année. L’autre vulnérabilité réside dans la fonction proxy de gestion des API.
L’exploitation des failles SSRF peut résultat en perte de confidentialité et d’intégrité, permettant à un acteur menaçant de lire les ressources Azure internes et exécuter du code non autorisé.
La faille de traversée de chemin découverte dans le portail des développeurs, d’autre part, provient d’un manque de validation du type de fichier et du chemin des fichiers téléchargés.
Un utilisateur authentifié peut tirer parti de cette faille pour télécharger des fichiers malveillants sur le serveur du portail des développeurs et potentiellement même exécuter du code arbitraire sur le système sous-jacent.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
Suite à une divulgation responsable, les trois failles ont été corrigées par Microsoft.
Les résultats surviennent des semaines après que des chercheurs d’Orca ont détaillé qu’une « faille de conception » dans Microsoft Azure pourrait être exploitée par des attaquants pour accéder aux comptes de stockage, se déplacer latéralement dans l’environnement et même exécuter du code à distance.
Cela fait également suite à la découverte d’une autre vulnérabilité Azure baptisée EmojiDeploy qui pourrait permettre à un attaquant de prendre le contrôle d’une application ciblée.