Güvenlik araştırmacıları, Microsoft’un Azure API Management hizmetinde keşfettikleri artık yamalanmış üç güvenlik açığını açıkladılar.
Hizmet, bir şirketin API’leri için bir yayın merkezi görevi görür ve API’leri oluşturmak, yönetmek, güvenliğini sağlamak ve analiz etmek için bir platform sağlar.
Ermetic araştırmacıları, iki sunucu tarafı istek sahteciliği (SSRF) hatası ve bir rastgele dosya yükleme hatası bulduklarını söylediler.
SSRF güvenlik açıklarından yararlanmanın hizmet reddi, web uygulaması güvenlik duvarını atlama ve dahili Azure varlıklarına erişimle sonuçlanabileceğini söylediler.
Dosya yükleme güvenlik açığı, bir saldırganın Azure’un “barındırılan dahili iş yüküne” ve “kendi kendine barındırılan geliştirici portallarına” dosya yüklemesine olanak tanır.
SSRF’lerden biri, hizmetin Kaynaklar Arası Kaynak Paylaşımı (CORS) proxy’sini içeriyordu.
Kasım 2022’de başka bir şirket tarafından bildirilen bir hata düzeltildi ve Ermetic’in hatası bu düzeltmeyi atladı. Aralık 2022’de bildirildi ve Ocak 2023’te yamalandı.
Araştırmacılar, istenen URL’yi manipüle ederek “Azure API Management hizmetinin CORS Proxy’sine yansıyan bir yanıtla tam bir SSRF elde etmeyi başardı.”
“Bu, SSRF’yi seçilen bir HTTP fiili/yöntemi ile göndermemizi sağladı” diye eklediler ve Azure dahili hizmetlerine erişim sağladılar.
Diğer SSRF, Azure API Management barındırma proxy’sindeydi: araştırmacılar, sistemdeki ilke yönetiminin kendilerine dahili Azure kaynakları sağladığını keşfetti.
Ermetic, keşfettikleri dosya yükleme hatasının, API Management geliştirici portalında sınırsız bir dosya yükleme yolu geçişi olduğunu söyledi.
Araştırmacılar, “Bulgumuz yalnızca Azure’un kendisini değil, aynı zamanda geliştirici portalını dağıtan son kullanıcıları da etkiliyor” dedi.
“Azure’ın yüklenen dosyaların dosya türünü ve yolunu doğrulamadığını gördük.
“Kimliği doğrulanmış kullanıcılar, dosyaları yüklerken belirtilen yolu geçebilir, kötü amaçlı dosyaları geliştirici portal sunucusuna yükleyebilir ve muhtemelen DLL ele geçirme, iisnode yapılandırma takası veya başka herhangi bir ilgili saldırı vektörü kullanarak üzerinde kod çalıştırabilir.”