Orca Security araştırmacıları, Azure Service Fabric Explorer’da bir uzaktan kod yürütme güvenlik açığını nasıl bulduklarını açıkladılar.

Güvenlik açığı, sorumlu açıklama ile Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bildirildi ve Microsoft tarafından Mart 2023 Salı Yaması turuna dahil edildi. Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Yeni keşfedilen bu güvenlik açığı, 10 üzerinden 8,2 CVSS puanıyla CVE-2023-23383 olarak listelenmiştir.

Super FabriXss olarak adlandırılan bu güvenlik açığı, Azure Service Fabric Explorer 9.1.1436.9590 ve önceki sürümlerde bulunan bir güvenlik açığıdır.

Araştırmacının hikayesi, Azure gibi yıpranmış ve karmaşık sistemlerde yeni Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açıkları bulmanın mümkün olduğunu göstermesi açısından ilginç. Super FabriXss güvenlik açığı, uzaktaki saldırganların bir Service Fabric düğümünde barındırılan bir kapsayıcıda kimlik doğrulamaya ihtiyaç duymadan uzaktan kod yürütmeyi başarmak için bir XSS güvenlik açığından yararlanmasına olanak tanıdığı için korkutucudur.

Azure Service Fabric Explorer (SFX), Azure Service Fabric kümelerini incelemek ve yönetmek için açık kaynaklı bir araçtır. Service Fabric kümesi, mikro hizmetlerinizin dağıtıldığı ve yönetildiği, ağa bağlı bir sanal veya fiziksel bilgisayar koleksiyonudur. Bir kümede binlerce düğüm olabilir.

XSS güvenlik açığı, bir web uygulamasında, bir saldırganın bir web sitesinin içeriğine kod (genellikle HTML veya JavaScript) eklemesine izin veren bir kusurdur. Olası bir sonuç olarak, o web sitesinin bir ziyaretçisi bu kodu tarayıcısında çalıştıracak ve sanki ziyaret ettikleri siteden geliyormuş gibi ele alınacaktır (okuma: güvenilir). Saldırgan bundan yararlanarak tarayıcının aynı kaynak politikasını atlayabilir ve web sitesiyle ilişkili bir kurbandan özel bilgileri çalabilir. Siteye bağlı olarak, saldırganın ziyaretçi kurbanı kılığına girmesine ve kullanıcının gerçekleştirebildiği tüm eylemleri gerçekleştirmesine ve kullanıcının herhangi bir verisine erişmesine olanak tanır.

Araştırmacıların bazı testlerden sonra bulduğu şey, Düğüm adı SFX kullanıcı arayüzünde değiştirildiğinde Düğümün bağımsız kontrol paneline yansıtıldığıdır. Bu nedenle, sunucunun farklı değişkenler için var olmayan ve/veya değiştirilmiş değerleri nasıl ele aldığını gözlemlemek için bazı farklı adlar denemeye başladılar.

Genellikle bir web sayfasındaki ana konuyu daha büyük bir yazı tipi boyutunda görüntülemek için kullanılan H1 etiketi gibi bazı basit HTML kodlarını deneyerek, Etkinlikler sekmesindeki seçeneklerde Küme’ye tıklamanın yeni bir başlığın şu şekilde görüntülendiğini gördüler: etkisinden dolayı büyük bir başlık

etiket.

Orca Security’nin izniyle görüntü

Bu ciddi bir saldırı olmamakla birlikte, gerçekleşen veya gerçekleşmesi gereken giriş temizliğini atlatmanın yolları olduğunu ve daha karmaşık HTML kodunun enjekte edilmesinin mümkün olabileceğini gösteriyor.

Bunu tam teşekküllü bir saldırıda nasıl kullanabiliriz?

Tam bir analiz için, daha fazla ayrıntıya giren araştırmacılar tarafından hazırlanan blogu okumaktan çekinmeyin. Ancak, kabaca, saldırı şu şekilde çalışır:

Saldırgan, hazırlanmış bir URL’yi Service Fabric Yöneticisine gönderir. Bu URL, bir Compose dağıtımının yükseltmesini tetiklemek için basit bir getirme isteği kullanan bir iframe içerir. Yükseltme işlemi, mevcut dağıtımın üzerine yeni ve kötü amaçlı bir dağıtım yazar. Bu yeni dağıtım, Docker dosyasında uzak bir .bat dosyası indirecek bir CMD talimatı içerir.

.bat dosyası, kodlanmış bir ters kabuk içeren ikinci bir dosyayı alır. Bu ters kabuk, saldırganın hedef sisteme uzaktan erişim kazanmasına ve potansiyel olarak konteynerin barındırıldığı küme düğümünün kontrolünü ele geçirmesine olanak tanır. Saldırgan, meşru bir uygulamanın kontrolünü bu şekilde ele geçirerek, daha sonra başka saldırılar başlatmak veya hassas veri veya kaynaklara erişim elde etmek için bunu bir platform olarak kullanabilir.

Güncelleme

Otomatik güncellemeleri etkinleştirdiyseniz herhangi bir işlem yapmanız gerekmez. Ancak, manuel olarak güncellemeyi seçenler ve 9.1.1436.9590 veya önceki bir sürümdeyseniz, Service Fabric Kümenizi nasıl güncelleyeceğinize ilişkin talimatlar için lütfen Service Fabric küme yükseltmelerini yönetme bölümüne bakın.

---

Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.

Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.