Dört Microsoft Azure SSRF Saldırı Döngüsü Bulundu, Yama Yayınlandı


Araştırmacılar, bulut kaynaklarına yetkisiz erişim elde etmek için kullanılmış olabilecek sunucu tarafı istek sahteciliği (SSRF) saldırılarına karşı savunmasız olan dört Microsoft Azure hizmeti buldu.

Siber güvenlik firması Orca Security’deki araştırmacılar, bu güvenlik açıklarını 8 Ekim ile 2 Aralık 2022 arasında Azure API Management, Azure Functions, Azure Machine Learning ve Azure Digital Twins’te buldu. Microsoft o zamandan beri bu güvenlik açıklarını gidermiştir.

Orca Security tehdit araştırmacısı Lidor Ben Shitrit, “Başarılı bir yürütme, bir saldırganın dahili kaynaklara erişmesine veya bunları değiştirmesine ve ayrıca verileri harici kaynaklara göndermesine neden olabileceğinden, SSRF saldırıları özellikle tehlikeli olabilir” diye yazdı.

Microsoft Azure hataları

Azure SSRF güvenlik açıkları, bir saldırganın yerel bağlantı noktalarını taramasına, yeni hizmetler, uç noktalar ve hassas dosyalar bulmasına olanak vererek, ilk giriş için değerli bilgiler ve hedeflenecek hassas bilgilerin konumu sağlayabilirdi.

Azure İşlevlerini ve Azure Digital Twins’i etkileyen güvenlik açıklarından ikisi, herhangi bir kimlik doğrulama gerektirmeden kullanılabilir ve bir tehdit aktörünün bir Azure hesabına bile sahip olmadan bir sunucunun kontrolünü ele geçirmesini sağlayabilir.

Ben Shitrit tehdit değerlendirmesinde “Güvenlik açıklarını keşfettiğimiz anda, bildirilen sorunları derhal düzelten Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) ulaştık” diye yazdı.

“Microsoft, güvenlik açıklarının giderildiğini onayladı, bu nedenle şimdi bulduğumuz güvenlik açıklarının ayrıntılarını açıklıyoruz.”

Azure hatalarının önem derecesi

Sunucu tarafı istek sahteciliği (SSRF) saldırıları, kötü niyetli aktörlerin dahili kaynaklara erişmesine, ağ boyunca hareket etmesine ve değerli verileri çıkarmak için başka türlü erişilemeyen sistemleri potansiyel olarak ihlal etmesine izin verdiği için ağlar için inanılmaz derecede tehlikeli olabilir.

Listelenen güvenlik açıklarından üçü önemli önem derecesine sahip olarak kabul edilirken, Azure Machine Learning’i etkileyen SSRF kusurunun düşük önem derecesine sahip olduğu kabul edilir. Bu zayıflıkların tümü, sunucuları manipüle etmek ve savunmasız hedeflere daha fazla saldırı başlatmak için kullanılabilir.

“Bu keşiflerin en dikkate değer yönü, muhtemelen çok az çabayla bulabildiğimiz SSRF güvenlik açıklarının sayısı (geçen yıl Oracle Bulut Hizmetlerinde bulduğumuz başka bir SSRF güvenlik açığı dahil), bunların ne kadar yaygın olduklarını ve oluşturdukları riski gösteriyor. Bulut ortamlarında, ”Ben Shitrit raporda belirtti.

Kuruluşlar, SSRF saldırılarına karşı korunmak için tüm girdileri doğrulamalı, sunucuların yalnızca gerekli gelen ve giden trafiğe izin verecek şekilde yapılandırıldığından emin olmalı, yanlış yapılandırmalardan kaçınmalı ve en az ayrıcalık (PoLP) ilkesini izlemelidir.

SSRF saldırıları ve olası hasarlar

Siber güvenlik şirketi Imperva tarafından yapılan bir açıklamaya göre, Sunucu Tarafı İstek Sahtekarlığı (SSRF), bir saldırganın kaynaklara erişmek veya bunları değiştirmek için sunucu işlevselliğini kullandığı bir siber saldırı türüdür.

Saldırgan, değiştirme veya yol geçişi gibi tekniklerle URL’leri manipüle ederek URL’lerden veri içe aktarımını destekleyen veya URL’lerden veri okumalarına izin veren bir uygulamayı hedefler.

Raporda, “SSRF saldırıları, genellikle sunucunun kendi içinde (sunucu SSRF saldırısı olarak bilinir) veya sunucu ile diğer arka uç sistemler (arka uç SSRF saldırısı olarak bilinir) arasındaki bir güven ilişkisinden yararlanır.”

Saldırgan, sunucunun koduna bir URL sağlar ve sunucu daha sonra sunucuya veri okur veya gönderir. Bu, saldırganın HTTP özellikli veritabanları ve sunucu yapılandırma verileri gibi ifşa edilmesi amaçlanmayan dahili verilere ve hizmetlere erişim kazanmasına olanak tanır.

Genel internet üzerinden doğrudan erişilemeyen hizmetler için bile, bir saldırgan bir hedef URL seçebilir ve verileri okumak için bunu kullanabilir. Saldırgan isteği değiştirdiğinde, sunucu isteği alır ve değiştirilen URL’den veri okumaya çalışır.

Bu güvenlik açığı, saldırganın hassas bilgilere erişmesine ve potansiyel olarak ağın daha derinlerine inmesine olanak sağladığından ciddi sonuçlar doğurabilir.





Source link