Araştırmacılar, Microsoft’un Azure bulut platformunda, saldırganların hedeflenen bir hizmetteki hassas bilgilere erişmesine, sunucuya erişimi reddetmesine veya daha fazla saldırı düzenlemek için dahili ağı taramasına izin verebilecek üç güvenlik açığını yamaladığını buldu.
Ermetic Araştırma Ekibinden araştırmacılar, Perşembe günü yayınlanan bir blog gönderisinde kuruluşların tüm ortamlarında API’ler oluşturmasına, yönetmesine, güvenliğini sağlamasına ve izlemesine olanak tanıyan Azure API Yönetim Hizmeti’ndeki kusurları keşfetti.
Tümü yüksek riskli olarak derecelendirilen kusurlar arasında iki Sunucu Tarafı İstek Sahtekarlığı (SSRF) güvenlik açığı ve dahili bir Azure iş yükünde bir dosya yükleme yolu geçişi yer alır.
SSRF, bir saldırganın savunmasız bir sunucudan hedeflenen bir harici veya dahili sunucuya veya hizmete hazırlanmış bir istek göndermesine ve hatta bunu bir hizmet reddi (DoS) saldırısında hedeflemesine olanak tanır. Bu kusurların kötüye kullanılması, bir saldırganın hedeflenen sunucuda depolanan hassas verilere erişebileceği, DoS saldırılarını kullanarak hedeflenen sunucuları aşırı yükleyebileceği ve dahili ağı tarayabileceği ve sonraki saldırılar için potansiyel hedefleri belirleyebileceği anlamına gelir.
Üçüncü kusur, Azure’un karşıya yüklenen dosyaların dosya türünü ve yolunu doğrulamamasıdır. Araştırmacılar, tipik olarak bu tür bir kusur durumunda, kimliği doğrulanmış kullanıcıların, kötü amaçlı dosyaları geliştirici portal sunucusuna yüklemek ve muhtemelen DLL korsanlığı, IISNode yapılandırma takası veya diğer benzer saldırı vektörlerini kullanarak üzerinde kod yürütmek için belirtilen yolu geçebileceğini söyledi. .
Araştırmacılara göre Microsoft, Ermetic’in kusurları açıklamasına hızlı bir şekilde yanıt verdi ve kusurları tamamen düzeltti ve Azure müşterileri için başka bir işlem yapılması gerekmiyor.
Hatalarla ilgili ayrıntılar
Ermetic araştırmacıları özellikle iki ayrı SSRF hatası keşfetti: biri Azure API Management CORS Proxy’yi, diğeri ise Azure API Management Hosting Proxy’yi etkiledi.
İlkini 21 Aralık 2022’de keşfettiler ve ilk başta bunun Microsoft’a 12 Kasım’da başka bir bulut güvenlik şirketi tarafından bildirilen ve birkaç gün sonra 16 Kasım’da düzeltilen kusurun aynısı olduğuna inandılar. araştırmacılar daha sonra buldukları kusurun aslında bu ilk düzeltmeyi atladığını fark ettiler. Ermetic’e göre, ilk araştırmacıların daha sonra bildirdiğine göre, Microsoft nihayetinde güvenlik açığını Ocak ayında tamamen yamaladı.
Ermetic’te bulut güvenliği araştırmacısı Liv Matan, araştırmacıların keşfettiği Azure SSRF açıklarının, “çok sayıda kullanıcı ve kuruluşun günlük işlemler için bağımlı olduğu” merkezi sunucuları etkilediğini söylüyor.
“Saldırganlar bunları kullanarak, bu meşru sunuculardan gelen sahte isteklerde bulunabilir, Azure müşterilerine ait hassas bilgileri içerebilecek dahili hizmetlere erişebilir ve hatta savunmasız sunucuların kullanılabilirliğini engelleyebilir” diyor.
Araştırmacılar, Azure API Yönetim Hizmeti’nde bulunan yol geçişi kusurunun, Azure geliştirici portalı sunucusuna sınırsız bir dosya yüklemesine izin verdiğini söyledi. Geliştirici portalının kimlik doğrulamalı modu, birinin bir geliştiricinin özel portalında gösterilecek statik dosyalar ve resimler yüklemesine izin verdiğini söylediler.
Matan, kusurun saldırganların Microsoft’un kendi kendine barındırılan geliştirici portalından yararlanmasına ve güvenlik açığını son kullanıcılara karşı silah haline getirmesine izin vermiş olabileceğini açıklıyor.
“Ayrıca, Azure tarafından barındırılan geliştirici portalı, güvenlik açığı yanlış ellere geçseydi risk altında olabilecek müşteri bilgilerini içerir” diyor.
Kuruluş Nasıl Korunur?
Matan, Ermetic araştırmacılarının keşfettikleri gibi API kusurları nadir olsa da, bu tür güvenlik açıklarına ilişkin farkındalığın son birkaç yılda arttığını söylüyor.
Ayrıca, “kör SSRF’ler”—herhangi bir veri döndürmesi gerekmeyen, bunun yerine sunucunun arka ucunda yetkisiz eylemler gerçekleştirmeye odaklanan SSRF kusurları—özellikle geniş bir hizmet yelpazesi sunan bulut platformlarında oldukça yaygındır, diyor.
Microsoft daha önce Azure bulut platformunun dört ayrı hizmetinde dört SSRF kusurunu zaten düzeltmişti; bunlardan ikisi, saldırganların bir sunucu tarafı istek sahteciliği (SSRF) saldırısı gerçekleştirmesine ve dolayısıyla potansiyel olarak uzaktan kod yürütmesine izin verebilirdi. yasal bir hesap.
Matan, “Sonuçta, herhangi bir bulut platformunda herhangi bir zamanda güvenlik açıkları keşfedilebilir” diyor.
Araştırmacılar, Azure’da ve diğer bulut platformlarında kurumsal ortamları tehdit edebilecek bir dizi başka kusur bulduklarından, kesinlikle bunun kanıtları var.
Bir örnekte Microsoft, araştırmacıların Azure Service Fabric bileşeninde “tehlikeli” bir kusur olarak adlandırdığı ve istismar edildiğinde kimliği doğrulanmamış, kötü niyetli bir aktörün platformda barındırılan bir kapsayıcıda kod yürütmesine izin verecek olan bir kusuru yamaladı.
Bir bulutu devreye alan bir kuruluşun, altta yatan bulut barındırma altyapısı üzerinde kontrole sahip olması ve hatta bir kusurun farkında olması zor olduğundan, kuruluşların kendi güvenlik uygulamalarında dikkatli olmaları ve böylece bir kusurun sonunda keşfedilmesi durumunda hazırlıklı olmaları önemlidir. ya da sömürüldü, araştırmacılar söyledi.
Yakın zamanda keşfedilen Azure API Management’ta taviz vermekten kaçınma durumunda Matan, kuruluşların uygun girdi doğrulama hijyeni uygulamalarını ve sunucularını yönlendirmeleri izlemeyecek şekilde yapılandırmalarını önerir.
“Bu durumlarda uzlaşmadan kaçınmak için kuruluşlar, kullanıcı girdileri veya HTTP istekleri gibi güvenilmeyen kaynaklardan alınan tüm girdileri doğrulamalıdır” diyor.
Kuruluşların bu durumlarda ödün vermemek için atabilecekleri diğer adımlar arasında beyaz liste yaklaşımı kullanmak, uygulamadan giden trafiği yalnızca gerekli hizmetlere ve bağlantı noktalarına kısıtlamak için güçlü bir güvenlik duvarı uygulamak, verileri izole etmek ve IMDSv2 kullanarak bulut ortamlarında sunucu üzerindeki izinleri yönetmek yer alır. Matan ekler.