Azure Service Fabric Explorer’da (SFX) artık yama uygulanmış ve kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilecek bir güvenlik açığı hakkında ayrıntılar ortaya çıktı.
CVE-2023-23383 (CVSS puanı: 8.2) olarak izlenen sorun, Microsoft tarafından düzeltilen FabriXss kusuruna (CVE-2022-35829, CVSS puanı: 6.2) bir gönderme olarak Orca Security tarafından “Super FabriXss” olarak adlandırıldı. Ekim 2022’de.
Güvenlik araştırmacısı Lidor Ben Shitrit, The Hacker News ile paylaşılan bir raporda, “Super FabriXss güvenlik açığı, uzaktaki saldırganların bir Service Fabric düğümünde barındırılan bir kapsayıcıda kimlik doğrulamaya ihtiyaç duymadan uzaktan kod yürütmesini sağlamak için bir XSS güvenlik açığından yararlanmasına olanak tanıyor.” dedi.
XSS, kötü amaçlı komut dosyalarının normalde güvenilir olan web sitelerine yüklenmesini mümkün kılan bir tür istemci tarafı kod enjeksiyon saldırısını ifade eder. Komut dosyaları daha sonra, bir kurban güvenliği ihlal edilmiş web sitesini her ziyaret ettiğinde çalıştırılır ve bu da istenmeyen sonuçlara yol açar.
Hem FabriXss hem de Super FabriXss, XSS kusurları olsa da, Super FabriXss’in kod yürütmek ve potansiyel olarak hassas sistemlerin kontrolünü ele geçirmek için silah haline getirilebilmesi açısından daha ciddi etkileri vardır.
Kullanıcı arayüzünden kümedeki her düğümle ilişkili “Olaylar” sekmesinde yer alan Super FabriXss de yansıtılmış bir XSS kusurudur, yani komut dosyası bir bağlantıya gömülüdür ve yalnızca bağlantı tıklandığında tetiklenir.
Ben Shitrit, “Bu saldırı, bir saldırganın XSS Güvenlik Açığı’ndan özel hazırlanmış bir URL ile bir yükseltmeyi tetikleyerek mevcut bir Compose dağıtımının üzerine yazmasına izin veren Service Fabric platformundaki Olaylar Sekmesi altındaki Küme Türü Geçiş seçeneklerinden yararlanır.”
“Bu şekilde meşru bir uygulamanın kontrolünü ele geçirerek, saldırgan daha sonra onu daha fazla saldırı başlatmak veya hassas veri veya kaynaklara erişim elde etmek için bir platform olarak kullanabilir.”
Orca’ya göre kusur, Azure Service Fabric Explorer 9.1.1436.9590 veya önceki sürümlerini etkiliyor. O zamandan beri Microsoft tarafından Mart 2023 Salı Yaması güncellemesinin bir parçası olarak ele alındı ve teknoloji devi bunu bir kimlik sahtekarlığı güvenlik açığı olarak tanımladı.
Microsoft, danışma belgesinde “Güvenlik açığı web istemcisinde, ancak kurbanın tarayıcısında yürütülen kötü amaçlı komut dosyaları (uzak) kümede yürütülen eylemlere dönüşüyor” dedi. “Kurban bir kullanıcının, tehlikeye girmesi için saldırgan tarafından enjekte edilen depolanmış XSS yükünü tıklaması gerekir.”
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Açıklama, NetSPI’nin Azure İşlev Uygulamalarında “salt okunur” izinlere sahip kullanıcıların hassas bilgilere erişmesine ve komut yürütme elde etmesine olanak tanıyan bir ayrıcalık yükseltme kusurunu ortaya çıkarmasıyla gelir.
Ayrıca, Bing.com’a güç veren bir içerik yönetim sistemi (CMS) de dahil olmak üzere bir dizi uygulamayı yetkisiz erişime maruz bırakan Azure Active Directory’deki bir yanlış yapılandırmanın keşfini izler.
BingBang saldırısını kodlayan bulut güvenlik firması Wiz, Bing’deki arama sonuçlarını değiştirmek ve daha da kötüsü, kullanıcılarına XSS saldırıları gerçekleştirmek için silah haline getirilebileceğini söyledi.