Четири различни услуги на Microsoft Azure са уязвими към атаки за подправяне на заявки от страна на сървъра (SSRF), които могат да бъдат използвани за получаване на неоторизиран достъп до ресурси в облака.
Проблемите със сигурността, които бяха открити от Orca между 8 октомври 2022г. и 2 декември 2022г. в Azure API Management, Azure Functions, Azure Machine Learning и Azure Digital Twins, междувременно бяха отстранени от Microsoft.
„Откритите уязвимости в Azure SSRF позволяваха на нападателя да сканира локални портове, да открива нови услуги, крайни точки и чувствителни файлове – предоставяйки ценна информация за евентуално уязвими сървъри и услуги, които да се използват за първоначално влизане, и за местоположението на чувствителна информация, към която да се насочи“, заяви изследователят от Orca Лидор Бен Шитрит в доклад, споделен с The Hacker News.
С две от уязвимостите, засягащи Azure Functions и Azure Digital Twins, може да се злоупотреби, без да се изисква каквато и да е автентикация, което позволява на хакер да поеме контрол над сървъра, без дори да има акаунт в Azure.
SSRF атаките биха могли да имат сериозни последици, тъй като позволяват на злонамерен извършител да чете или актуализира вътрешни ресурси, и още по-лошо, да се насочи към други части на мрежата, да пробие иначе недостъпни системи, за да извлече ценни данни.
Три от пропуските са оценени като важни по сериозност, докато SSRF пропускът, засягащ Azure Machine Learning, е оценен като ниско сериозен. Всички слабости могат да бъдат използвани за манипулиране на сървъра с цел организиране на по-нататъшни атаки срещу уязвима цел.
Краткото обобщение на четирите уязвимости е следното.
За да се намалят подобни заплахи, на организациите се препоръчва да валидират всички входни данни, да гарантират, че сървърите са конфигурирани да разрешават само необходимия входящ и изходящ трафик, да избягват грешни конфигурации и да се придържат към принципа на най-малките привилегии (PoLP).
„Най-забележителният аспект на тези открития безспорно е броят на SSRF уязвимостите, които успяхме да открием само с минимални усилия, което показва колко разпространени са те и какъв риск представляват в облачните среди“, каза Бен Шитрит.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.