Microsoft, şirketin bulut barındırma altyapısının Azure Service Fabric bileşeninde araştırmacıların “tehlikeli” bir kusur olarak adlandırdığı şeyi düzeltti. Eğer kötüye kullanılırsa, kimliği doğrulanmamış, kötü niyetli bir aktörün platformda barındırılan bir kapsayıcıda kod yürütmesine izin verirdi.
Orca Security’den araştırmacılar, Aralık ayında Super FabriXss olarak adlandırdıkları siteler arası komut dosyası çalıştırma (XSS) kusurunu keşfettiler ve Microsoft’a bildirdiler ve Mart’ın Salı Yaması güncellemelerinde bir düzeltme yayınlayan Microsoft’a bildirdiler. 30 Mart’ta yayınlandı ve hatanın teknik ayrıntılarını ortaya çıkardı.
Ayrıca, Microsoft’un bugün Tel Aviv’de düzenlenen BlueHat IL 2023’teki bir sunumunda, saldırganların 9.1.1583.9590’dan önceki Azure Service Fabric Explorer sürümlerini istismara karşı savunmasız hale getiren kusurdan nasıl yararlanabileceğini gösterdiler.
CVSS derecelendirmesi 8,2 olan CVE-2023-23383 olarak izlenen Super FabriXss, Orca araştırmacılarının Azure Service Fabric Explorer’da keşfettiği şimdiye kadarki ikinci XSS hatasıdır. Microsoft’un Azure bulut bilgi işlem platformunun bir parçası olan Azure Hizmeti, büyük ölçekli dağıtılmış sistemlerde durum bilgisi olmayan ve durum bilgisi olan mikro hizmetlerin ve kapsayıcıların paketlenmesini, devreye alınmasını ve yönetilmesini sağlar.
Araştırmacılar, Ekim ayında Orca araştırmacıları tarafından detaylandırılan ve FabriXss olarak adlandırılan ilk XSS güvenlik açığının, halefi kadar ciddi bir risk oluşturmadığını söyledi. Yine Microsoft tarafından Salı Yaması güncelleştirmesiyle hızlı bir şekilde yama uygulanan FabriXss, bir saldırganın Service Fabric kümesinde tam yönetici izinleri kazanmasına izin verirdi.
Super FabriXss’ten Yararlanma
Super FabriXss ile kimliği doğrulanmamış uzak bir saldırgan, Service Fabric düğümlerinden birinde barındırılan bir kapsayıcıda kod yürütebilir; Orca Güvenlik, gönderide yazdı.
Shitrit, Dark Reading’e, Super FabriXss kullanan bir saldırganın, tıklandığında çok adımlı bir süreci başlatan ve sonunda küme düğümlerinden birinde zararlı bir kapsayıcının oluşturulmasına ve konuşlandırılmasına yol açan kötü amaçlı bir URL oluşturabileceğini söylüyor.
Shitrit, BlueHat’ta özellikle ölçümler sekmesini kötüye kullanarak ve konsolda belirli bir seçeneği etkinleştirerek Azure Service Fabric Explorer’daki yansıyan bir XSS güvenlik açığını kimliği doğrulanmamış bir RCE’ye nasıl yükseltebileceklerini gösterdi: “Küme Türü” geçişi, Shitrit gönderide yazdı.
Dark Reading’e “Bu güvenlik açığından yararlanmak için, bir kurbanın (kimliği doğrulanmış bir Service Fabric Explorer kullanıcısı) önce kötü amaçlı URL’yi tıklaması ve ardından Olaylar sekmesi altındaki Küme Türü’nü tıklaması için yönlendirilmesi gerekir” diye açıklıyor. “Bir kez istismar edildikten sonra, hassas küme verileri saldırgana gösterilebilir ve potansiyel olarak saldırıyı daha geniş bir yüzeye yaymalarına olanak tanır.”
Shitrit gönderide, güvenlik açığının kendisinin, kullanıcının bağlamına bir iframe yerleştirmek için yararlanılabilen savunmasız bir “Düğüm Adı” parametresinden kaynaklandığını söyledi. Bu iframe daha sonra saldırgan tarafından kontrol edilen bir sunucudan uzak dosyaları alır ve sonunda kötü amaçlı bir PowerShell ters kabuğunun yürütülmesine yol açar.
“Bu saldırı zinciri, en sonunda kapsayıcıda uzaktan kod yürütülmesine neden olabilir. [that] potansiyel olarak bir saldırganın kritik sistemlerin kontrolünü ele geçirmesine izin verecek şekilde kümeye konuşlandırıldı” diye yazdı.
Azaltma ve Azure Kullanıcıları İçin Etkileri
Araştırmacılar, Orca’nın güvenlik açığını Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) 20 Aralık’ta bildirdiğini ve konuyla ilgili soruşturmanın 31 Aralık’ta başladığını söyledi. Orca araştırmacıları ve MSRC, Microsoft’un CVE-2023-23383’ü güvenlik açığına atamasından ve 14 Mart’ta müşteriler için sorunu otomatik olarak düzelten bir yama yayınlamasından önce, kusurun etkisi hakkında birkaç kez iletişim kurdu.
Dark Reading’e, Azure Service Fabric kullanıcıları tarafından başka bir işlem yapılması gerekmese de kusurun, bir kuruluşun dağıttığı bulut tabanlı mimarilerdeki yama uygulanmamış kusurların doğasında var olan tehlikeyi bir kez daha vurguladığını söylüyor. Shitrit, bu güvenlik açıklarının “şirket içi çözümlere kıyasla daha yüksek riskler oluşturabileceğini” söylüyor.
“Bulut tabanlı sistemlerle, kuruluşlar genellikle üçüncü taraf sağlayıcılara bağımlıdır, bu da daha geniş bir saldırı yüzeyine ve güvenlik önlemleri üzerinde daha az kontrole yol açar” diye ekliyor. “Ayrıca, bulut ortamlarının çok kiracılı doğasını ve kiracılar arasında uygun izolasyonu korumanın önemini dikkate almak önemlidir.”
Super FabriXss gibi bulut tabanlı kusurların ortaya çıkardığı riskleri ele almak için, kuruluşların bir bulut güvenlik hijyeni rejimi sürdürmelerini öneriyor. Shitrit, bunun düzenli olarak yamaları uygulamayı, güvenliği izlemeyi, güvenlik açıklarını ele almayı, çalışanları en iyi uygulamalar konusunda eğitmeyi, ağ bölümlendirmeyi uygulamayı, en az ayrıcalıklı izinleri zorlamayı, sağlayıcılarla işbirliği yapmayı ve sağlam bir olay müdahale planı oluşturmayı içerdiğini söylüyor.
“Bu birleşik çabalar, güvenli ve dayanıklı bir bulut ortamının sağlanmasına yardımcı oluyor” diyor.