Microsoft Azure ile ilgili birden fazla hizmeti etkileyen keşfedilen yeni bir kritik uzaktan kod yürütme (RCE) kusuru, kötü niyetli bir aktör tarafından hedeflenen bir uygulamanın kontrolünü tamamen ele geçirmek için kullanılabilir.
Ermetic araştırmacısı Liv Matan, The Hacker News ile paylaşılan bir raporda, “Güvenlik açığı, her yerde bulunan SCM hizmeti Kudu’daki CSRF (siteler arası istek sahteciliği) aracılığıyla elde edildi.” Dedi. “Saldırganlar, güvenlik açığını kötüye kullanarak, kurbanın Azure uygulamasına yük içeren kötü amaçlı ZIP dosyalarını dağıtabilir.”
Eksikliği adlandıran İsrail bulut altyapısı güvenlik firması EmojiDağıtımıhassas verilerin çalınmasına ve diğer Azure hizmetlerine yatay geçişe daha fazla olanak sağlayabileceğini söyledi.
Microsoft, 26 Ekim 2022’deki sorumlu açıklamanın ardından 6 Aralık 2022 itibarıyla güvenlik açığını düzeltti ve ayrıca 30.000 ABD Doları tutarında bir hata ödülü verdi.
Windows üreticisi, Kudu’yu “Azure Uygulama Hizmeti’nde kaynak denetimi tabanlı dağıtım ve Dropbox ve OneDrive senkronizasyonu gibi diğer dağıtım yöntemleriyle ilgili bir dizi özelliğin arkasındaki motor” olarak tanımlıyor.
Ermetic tarafından tasarlanan varsayımsal bir saldırı zincirinde, bir saldırgan, teslim edilmesi için “/api/zipdeploy” uç noktasına özel olarak hazırlanmış bir istek göndererek, kaynaklar arası saldırıları engellemek için konulan korumaları yenmek için Kudu SCM panelindeki CSRF güvenlik açığından yararlanabilir. kötü amaçlı bir arşiv (ör. web kabuğu) ve uzaktan erişim elde edin.
ZIP dosyası, kendi adına, HTTP isteğinin gövdesinde kodlanmıştır ve kurban uygulamadan, sunucunun aynı kaynak politikası atlaması aracılığıyla kötü amaçlı yazılımı barındıran bir aktör-kontrol alanına gitmesini ister.
Denizde gezinme veya oturum sürme olarak da bilinen siteler arası istek sahteciliği, bir tehdit aktörünün bir web uygulamasının kimliği doğrulanmış bir kullanıcısını kandırıp onlar adına yetkisiz komutlar yürütmesi için kandırdığı bir saldırı vektörüdür.
Şirket, “Güvenlik açığının bir bütün olarak kuruluş üzerindeki etkisi, uygulamanın yönetilen kimliğinin izinlerine bağlıdır” dedi. “En az ayrıcalık ilkesini etkili bir şekilde uygulamak, patlama yarıçapını önemli ölçüde sınırlayabilir.”
Bulgular, Orca Security’nin Azure API Management, Azure Functions, Azure Machine Learning ve Azure Digital Twins’i etkileyen dört sunucu tarafı istek sahteciliği (SSRF) saldırısı örneğini ortaya çıkarmasından günler sonra geldi.