随着企业越来越多地迁移到云中,保护基础架构变得前所未有的重要。
根据最新研究,Microsoft Azure应用服务中的两个安全漏洞可能使攻击者能够进行服务器端请求伪造(SSRF)攻击或执行任意代码并接管服务器。
网络安全公司Intezer在今天发布并与《The Hacker News》共享的一份报告中说:“这使攻击者能够悄悄接管App Service的git服务器,或植入可通过Azure门户访问的恶意网络钓鱼页面,以锁定目标系统管理员。”
在Intezer Labs的Paul Litvak发现后,该漏洞已于6月份报告给微软,之后微软对该漏洞进行了解决。
Azure App Service是基于云计算的平台,用作构建Web应用程序和移动后端的托管Web服务。
通过Azure创建应用服务时,将创建一个新的Docker环境,其中包含两个容器节点(管理器节点和应用程序节点),并注册指向应用程序HTTP web服务器和应用程序服务管理页面的两个域,它反过来利用Kudu从源代码管理提供者(如GitHub或bitback)连续部署应用程序。
视频链接:https://www.youtube.com/watch?v=uI0_6OWNbnQ&feature=emb_title
同样,Linux环境中的Azure部署由一个名为KuduLite的服务管理,该服务提供有关系统的诊断信息,并由一个web接口组成,该接口将SSH连接到应用程序节点(称为“websh”)。
第一个漏洞是权限提升漏洞,允许通过硬编码凭据接管KuduLite (“root:Docker!”)这使得SSH能够进入实例并以root用户身份登录,从而允许攻击者完全控制SCM(又名软件配置管理)web服务器。
研究人员认为,这可以使对手“侦听用户对SCM网页的HTTP请求,添加我们自己的页面,并将恶意Javascript注入用户的网页”。
第二个安全漏洞涉及应用程序节点向KuduLite API发送请求的方式,可能允许具有SSRF漏洞的Web应用程序访问节点的文件系统并窃取源代码和其他敏感资产。
研究人员说:“设法伪造POST请求的攻击者可以通过命令API在应用程序节点上实现远程代码执行。”
而且,成功利用第二个漏洞意味着攻击者可以将两个问题联系在一起,以利用SSRF漏洞并提升他们的特权来接管KuduLite Web服务器实例。
就其本身而言,微软一直在努力改善云和物联网(IoT)空间中的安全性。在今年早些时候提供其以安全性为重点的物联网平台Azure Sphere之后,它还向研究人员开放了该服务,以使其能够“识别黑客之前的高影响力漏洞”进入服务。
Intezer说:“云使开发人员能够快速,灵活地构建和部署应用程序,但是,基础架构经常容易受到其控制之外的漏洞的影响。” “对于App Services,应用程序与其他管理容器共同托管,并且其他组件可能带来其他威胁。
“运行时云安全是重要的最后一道防线,也是降低风险的首要措施之一,因为它可以检测恶意代码注入和其他内存中的威胁,这些威胁是在攻击者利用漏洞后发生的。”
稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理,
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册