{"id":717852,"date":"2023-05-04T13:23:24","date_gmt":"2023-05-04T15:23:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-3-vulnerabilites-dans-le-service-de-gestion-des-api-microsoft-azure\/"},"modified":"2023-05-04T13:23:27","modified_gmt":"2023-05-04T15:23:27","slug":"des-chercheurs-decouvrent-3-vulnerabilites-dans-le-service-de-gestion-des-api-microsoft-azure","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-3-vulnerabilites-dans-le-service-de-gestion-des-api-microsoft-azure\/","title":{"rendered":"Des chercheurs d\u00e9couvrent 3 vuln\u00e9rabilit\u00e9s dans le service de gestion des API Microsoft Azure"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Gestion des API \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Trois nouvelles failles de s\u00e9curit\u00e9 ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans le service Microsoft Azure API Management qui pourraient \u00eatre exploit\u00e9es par des acteurs malveillants pour acc\u00e9der \u00e0 des informations sensibles ou \u00e0 des services backend.<\/p>\n<p>Cela inclut deux failles de falsification de requ\u00eate c\u00f4t\u00e9 serveur (SSRF) et une instance de fonctionnalit\u00e9 de t\u00e9l\u00e9chargement de fichiers sans restriction dans le portail des d\u00e9veloppeurs API Management, selon la soci\u00e9t\u00e9 isra\u00e9lienne de s\u00e9curit\u00e9 cloud Ermetic.<\/p>\n<p>&#8220;En abusant des vuln\u00e9rabilit\u00e9s SSRF, les attaquants pourraient envoyer des requ\u00eates \u00e0 partir du proxy CORS du service et du proxy d&#8217;h\u00e9bergement lui-m\u00eame, acc\u00e9der aux ressources Azure internes, refuser le service et contourner les pare-feu des applications Web&#8221;, a d\u00e9clar\u00e9 la chercheuse en s\u00e9curit\u00e9 Liv Matan dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/ermetic.com\/blog\/azure\/when-good-apis-go-bad-uncovering-3-azure-api-management-vulnerabilities\/\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;Avec la travers\u00e9e du chemin de t\u00e9l\u00e9chargement de fichiers, les attaquants pourraient t\u00e9l\u00e9charger des fichiers malveillants sur la charge de travail interne h\u00e9berg\u00e9e d&#8217;Azure.&#8221;<\/p>\n<p>Azure API Management est un <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/api-management\/api-management-key-concepts\" target=\"_blank\">plateforme de gestion multicloud<\/a> qui permet aux organisations d&#8217;exposer en toute s\u00e9curit\u00e9 leurs API \u00e0 des clients externes et internes et de permettre une large gamme d&#8217;exp\u00e9riences connect\u00e9es.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tractivethreatsstatic-inside-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682946326_927_Decouverte-de-la-nouvelle-boite-a-outils-de-logiciels-malveillants.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sur les deux failles SSRF identifi\u00e9es par Ermetic, l&#8217;une d&#8217;elles est un contournement d&#8217;un correctif mis en place par Microsoft pour rem\u00e9dier \u00e0 une vuln\u00e9rabilit\u00e9 similaire <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/blog\/2023\/01\/microsoft-resolves-four-ssrf-vulnerabilities-in-azure-cloud-services\/\" target=\"_blank\">rapport\u00e9 par Orque<\/a> plus t\u00f4t cette ann\u00e9e.  L&#8217;autre vuln\u00e9rabilit\u00e9 r\u00e9side dans la fonction proxy de gestion des API.<\/p>\n<p>L&#8217;exploitation des failles SSRF peut <a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/918.html\" target=\"_blank\">r\u00e9sultat<\/a> en perte de confidentialit\u00e9 et d&#8217;int\u00e9grit\u00e9, permettant \u00e0 un acteur mena\u00e7ant de <a rel=\"nofollow noopener\" href=\"https:\/\/www.imperva.com\/learn\/application-security\/server-side-request-forgery-ssrf\/\" target=\"_blank\">lire les ressources Azure internes<\/a> et ex\u00e9cuter du code non autoris\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683213804_289_Des-chercheurs-decouvrent-3-vulnerabilites-dans-le-service-de-gestion.png\" alt=\"Service de gestion des API Microsoft Azure\" border=\"0\" data-original-height=\"400\" data-original-width=\"728\" title=\"Service de gestion des API Microsoft Azure\"\/><\/div>\n<p>La faille de travers\u00e9e de chemin d\u00e9couverte dans le portail des d\u00e9veloppeurs, d&#8217;autre part, provient d&#8217;un manque de validation du type de fichier et du chemin des fichiers t\u00e9l\u00e9charg\u00e9s.<\/p>\n<p>Un utilisateur authentifi\u00e9 peut tirer parti de cette faille pour t\u00e9l\u00e9charger des fichiers malveillants sur le serveur du portail des d\u00e9veloppeurs et potentiellement m\u00eame ex\u00e9cuter du code arbitraire sur le syst\u00e8me sous-jacent.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>Suite \u00e0 une divulgation responsable, les trois failles ont \u00e9t\u00e9 corrig\u00e9es par Microsoft.<\/p>\n<p>Les r\u00e9sultats surviennent des semaines apr\u00e8s que des chercheurs d&#8217;Orca ont d\u00e9taill\u00e9 qu&#8217;une &#8220;faille de conception&#8221; dans Microsoft Azure pourrait \u00eatre exploit\u00e9e par des attaquants pour acc\u00e9der aux comptes de stockage, se d\u00e9placer lat\u00e9ralement dans l&#8217;environnement et m\u00eame ex\u00e9cuter du code \u00e0 distance.<\/p>\n<p>Cela fait \u00e9galement suite \u00e0 la d\u00e9couverte d&#8217;une autre vuln\u00e9rabilit\u00e9 Azure baptis\u00e9e EmojiDeploy qui pourrait permettre \u00e0 un attaquant de prendre le contr\u00f4le d&#8217;une application cibl\u00e9e.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/researchers-discover-3-vulnerabilities.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 mai 2023\ue804Ravie LakshmananGestion des API \/ Vuln\u00e9rabilit\u00e9 Trois nouvelles failles de s\u00e9curit\u00e9 ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans le service Microsoft Azure API Management qui pourraient \u00eatre exploit\u00e9es par des acteurs malveillants pour acc\u00e9der \u00e0 des informations sensibles ou \u00e0 des services backend. Cela inclut deux failles de falsification de requ\u00eate c\u00f4t\u00e9 serveur (SSRF) et une [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":717853,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[43650,21082,12848,4168,4158,4165,4161,429,3073,133,8945,4157,4159,4171,4170,4167,8362,4160,4163,4162,4172,4169,2314,4166,4164,12365],"class_list":["post-717852","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-api","tag-azure","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-decouvrent","tag-des","tag-gestion","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-service","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/717852","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=717852"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/717852\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/717853"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=717852"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=717852"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=717852"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}