Търсене
Close this search box.

Недостатъци на Microsoft Azure може да са довели до неоторизиран достъп

Четири различни услуги на Microsoft Azure са уязвими към атаки за подправяне на заявки от страна на сървъра (SSRF), които могат да бъдат използвани за получаване на неоторизиран достъп до ресурси в облака.

Проблемите със сигурността, които бяха открити от Orca между 8 октомври 2022г. и 2 декември 2022г. в Azure API Management, Azure Functions, Azure Machine Learning и Azure Digital Twins, междувременно бяха отстранени от Microsoft.

„Откритите уязвимости в Azure SSRF позволяваха на нападателя да сканира локални портове, да открива нови услуги, крайни точки и чувствителни файлове – предоставяйки ценна информация за евентуално уязвими сървъри и услуги, които да се използват за първоначално влизане, и за местоположението на чувствителна информация, към която да се насочи“, заяви изследователят от Orca  Лидор Бен Шитрит в доклад, споделен с The Hacker News.

С две от уязвимостите, засягащи Azure Functions и Azure Digital Twins, може да се злоупотреби, без да се изисква каквато и да е автентикация, което позволява на хакер да поеме контрол над сървъра, без дори да има акаунт в Azure.

SSRF атаките биха могли да имат сериозни последици, тъй като позволяват на злонамерен извършител да чете или актуализира вътрешни ресурси, и още по-лошо, да се насочи към други части на мрежата, да пробие иначе недостъпни системи, за да извлече ценни данни.

Три от пропуските са оценени като важни по сериозност, докато SSRF пропускът, засягащ Azure Machine Learning, е оценен като ниско сериозен. Всички слабости могат да бъдат използвани за манипулиране на сървъра с цел организиране на по-нататъшни атаки срещу уязвима цел.

Краткото обобщение на четирите уязвимости е следното.

  • Неудостоверен SSRF в Azure Digital Twins Explorer чрез недостатък в крайната точка /proxy/blob, който може да бъде използван за получаване на отговор от всяка услуга, която е завършена с „blob.core.windows[.]net“
  • Неудостоверен SSRF на Azure Functions, който може да бъде използван за изброяване на локални портове и достъп до вътрешни крайни точки
  • Удостоверена SSRF на услугата Azure API Management, която може да бъде използвана за изброяване на вътрешни портове, включително един, свързан с услуга за управление на изходен код, който след това може да бъде използван за достъп до чувствителни файлове
  • Удостоверена SSRF в услугата Azure Machine Learning чрез крайната точка /datacall/streamcontent, която може да бъде използвана за извличане на съдържание от произволни крайни точки 

За да се намалят подобни заплахи, на организациите се препоръчва да валидират всички входни данни, да гарантират, че сървърите са конфигурирани да разрешават само необходимия входящ и изходящ трафик, да избягват грешни конфигурации и да се придържат към принципа на най-малките привилегии (PoLP).

„Най-забележителният аспект на тези открития безспорно е броят на SSRF уязвимостите, които успяхме да открием само с минимални усилия, което показва колко разпространени са те и какъв риск представляват в облачните среди“, каза Бен Шитрит.

 

 

 

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
22/02/2024

Нови уязвимости в Wi-Fi изл...

Изследователи в областта на киберсигурността са...
09/02/2024

Мрежата за гости

Wi-Fi за гости се отнася до...
15/01/2024

Juniper предупреждава за кр...

Juniper Networks пусна актуализации за сигурност,...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!