資安廠商 Intezer 日前發布資安研究報告,指出該公司的研究人員發現 Microsoft Azure 雲端服務存有兩個漏洞,可導致駭侵者遠端執行任意程式碼,並接管用戶的伺服器。
發生問題的是 Microsoft Azure 的 App Services,可供客戶託管各種 web 服務;研究者發現在 App Services 中的 Linux 主機存有兩個資安漏洞,可供駭侵者進行伺服器端請求偽造(Server-side Request Forge,SSRF)攻擊,以及遠端執行任意程式碼,導致用戶的主機權限遭駭侵者取得。
研究人員指出,第一個 SSRF 漏洞發生在 Azure App Services 使用的開源套件 KuduLite,這個套件是讓註冊戶用管理其 App Service 方案;研究人員發現 KuduLite 的程式碼將 SSH 安全連線使用的密碼硬寫(hard-coded)在其程式碼中,可因此取得 root 登入身分。
第二個漏洞發生在 KuduLite 的 API,應用程式節點可以在未經存取權限驗證的情況下,向 KuduLite 發送存取要求;攻擊者可以利用這個漏洞來存取應用程式節點的檔案系統,甚至可以竊得該節點儲存的應用程式原始碼與其他資源。
Intezer 是在三個月前發現這兩個漏洞,隨即向 Microsoft 提報;而 Microsoft 很快就修復了這兩個漏洞,因此這兩個漏洞沒有 CVE 編號。
- 影響產品/版本:Microsoft Azure App Services
- 解決方案:已解決
- 參考連結:
https://threatpost.com/microsoft-azure-flaws-servers-takeover/159965/
- 【更多資訊產品漏洞】請參考https://www.twcert.org.tw/newepaper/lp-67-3.html
留言列表