Microsoft Azure 遭發現漏洞,駭侵者可能接管用戶伺服器.png

資安廠商 Intezer 日前發布資安研究報告,指出該公司的研究人員發現 Microsoft Azure 雲端服務存有兩個漏洞,可導致駭侵者遠端執行任意程式碼,並接管用戶的伺服器。

發生問題的是 Microsoft Azure 的 App Services,可供客戶託管各種 web 服務;研究者發現在 App Services 中的 Linux 主機存有兩個資安漏洞,可供駭侵者進行伺服器端請求偽造(Server-side Request Forge,SSRF)攻擊,以及遠端執行任意程式碼,導致用戶的主機權限遭駭侵者取得。

研究人員指出,第一個 SSRF 漏洞發生在 Azure App Services 使用的開源套件 KuduLite,這個套件是讓註冊戶用管理其 App Service 方案;研究人員發現 KuduLite 的程式碼將 SSH 安全連線使用的密碼硬寫(hard-coded)在其程式碼中,可因此取得 root 登入身分。

第二個漏洞發生在 KuduLite 的 API,應用程式節點可以在未經存取權限驗證的情況下,向 KuduLite 發送存取要求;攻擊者可以利用這個漏洞來存取應用程式節點的檔案系統,甚至可以竊得該節點儲存的應用程式原始碼與其他資源。

Intezer 是在三個月前發現這兩個漏洞,隨即向 Microsoft 提報;而 Microsoft 很快就修復了這兩個漏洞,因此這兩個漏洞沒有 CVE 編號。

  • 影響產品/版本:Microsoft Azure App Services
  • 解決方案:已解決

  • 參考連結:

https://www.intezer.com/blog/cloud-security/kud-i-enter-your-server-new-vulnerabilities-in-microsoft-azure/

https://threatpost.com/microsoft-azure-flaws-servers-takeover/159965/

    twcert 發表在 痞客邦 留言(0) 人氣()