Microsoft Azure API Management hizmetinde, kötü niyetli aktörler tarafından hassas bilgilere veya arka uç hizmetlerine erişim elde etmek için kötüye kullanılabilecek üç yeni güvenlik açığı açıklandı.
İsrailli bulut güvenlik firması Ermetic’e göre buna iki sunucu tarafı istek sahteciliği (SSRF) kusuru ve API Management geliştirici portalındaki bir sınırsız dosya yükleme işlevi örneği dahildir.
Güvenlik araştırmacısı Liv Matan, The Hacker News ile paylaştığı bir raporda, “Saldırganlar, SSRF güvenlik açıklarını kötüye kullanarak hizmetin CORS Proxy’sinden ve barındırma proxy’sinin kendisinden istekler gönderebilir, dahili Azure varlıklarına erişebilir, hizmeti reddedebilir ve web uygulaması güvenlik duvarlarını atlayabilir” dedi.
“Dosya yükleme yolu geçişiyle, saldırganlar kötü amaçlı dosyaları Azure’un barındırılan dahili iş yüküne yükleyebilir.”
Azure API Management, kuruluşların API’lerini harici ve dahili müşterilere güvenli bir şekilde sunmasına ve çok çeşitli bağlantılı deneyimlere olanak sağlamasına olanak tanıyan bir çoklu bulut yönetim platformudur.
Ermetic tarafından tespit edilen iki SSRF kusurundan biri, Orca tarafından bu yılın başlarında bildirilen benzer bir güvenlik açığını gidermek için Microsoft tarafından uygulamaya konan bir düzeltmenin atlanmasıdır. Diğer güvenlik açığı, API Management proxy işlevinde bulunur.
SSRF açıklarının kötüye kullanılması, gizlilik ve bütünlük kaybına yol açarak bir tehdit aktörünün dahili Azure kaynaklarını okumasına ve yetkisiz kod yürütmesine izin verebilir.
Geliştirici portalında keşfedilen yol geçişi hatası ise, yüklenen dosyaların dosya türünün ve yolunun doğrulanmamasından kaynaklanmaktadır.
Kimliği doğrulanmış bir kullanıcı, kötü amaçlı dosyaları geliştirici portalı sunucusuna yüklemek ve hatta potansiyel olarak temeldeki sistemde rasgele kod yürütmek için bu boşluktan yararlanabilir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Sorumlu açıklamanın ardından, üç kusurun tamamı Microsoft tarafından yamalanmıştır.
Bulgular, Orca’daki araştırmacıların Microsoft Azure’daki bir “tasarım hatası”nı ayrıntılarıyla açıklamalarından haftalar sonra geldi.
Ayrıca, bir saldırganın hedeflenen bir uygulamanın denetimini ele geçirmesini sağlayabilecek EmojiDeploy adlı başka bir Azure güvenlik açığının keşfedilmesinin ardından gelir.