网络安全公司 Intezer 的报告显示,Microsoft Azure 云服务曝出的两个新破绽可能使不良行为者可能进行服务器端申请伪造(SSRF)攻打或执行任意代码并接管治理服务器。
Intezer Labs 的钻研人员 Paul Litval 发现该破绽后,已于往年 6 月将破绽报告给了 Microsoft,目前该破绽已失去修复。
黑客可连贯两个破绽,晋升权限接管服务器
Azure App Service 是基于云计算的平台,用作构建 Web 应用程序和挪动后端的托管 Web 服务。
当通过 Azure 创立一个应用程序服务时,一个新的 Docker 环境将由两个容器节点(一个管理器节点和一个应用程序节点)创立,同时注册两个域,这两个域指向应用程序的 HTTP web 服务器和应用程序服务的治理页面,这两个域又利用 Kudu 从 GitHub 或 Bitbucket 等源代码管制提供商那里继续部署应用程序。
同样,Linux 环境上的 Azure 部署由一个名为 KuduLite 的服务治理,该服务提供无关零碎的诊断信息,并蕴含到 SSH 的 web 接口到应用程序节点(称为“webssh”)。
第一个破绽是权限晋升安全漏洞,它容许通过硬编码凭证(“root: Docker!”)接管 KuduLite 这使得通过 SSH 连贯到实例并作为 root 用户登录成为可能,从而容许攻击者齐全管制 SCM(又名软件配置管理)Web 服务器。
钻研人员认为,这能够使攻击者“监听用户对 SCM 网页的 HTTP 申请,增加本人的页面,并将歹意的 Javascript 注入用户的网页。”
第二个安全漏洞波及应用程序节点向 KuduLite API 发送申请的形式,这可能容许具备 SSRF 破绽的 web 应用程序拜访节点的文件系统并窃取源代码和其余敏感资源。
钻研人员说:“一个设法伪造 POST 申请的攻击者能够通过命令 API 在利用节点上实现近程代码执行。”
更重要的是,胜利利用第二个破绽意味着攻击者能够连贯这两个破绽以利用 SSRF 破绽并晋升他们的权限来接管 KuduLite web 服务器实例。
数据安全的最初一道防线
依据 Intezer 公布的报告,攻击者能够利用这两个破绽“悄悄地接管 App Service 的 git 服务器,或者将能够通过 Azure Portal 拜访的歹意钓鱼页面锁定目标系统管理员。”
Intezer 的钻研人员说:“云使开发人员可能疾速、灵便的构建和部署应用程序,然而基础架构常常容易受到其管制之外的破绽影响。对于 App Services,应用程序与其余治理容器独特托管,并且其余组件可能带来其余威逼。”
作为一个通用的最佳实际,运行时云平安是最重要的最初一道防线,也是升高危险的首要措施之一,因为它能够检测到破绽被攻击者利用后产生的恶意代码注入和其余内存中的威逼。
Microsoft 自身也始终在改善云和 IoT 空间中的安全性,往年早些时候提供其以安全性为重点的物联网平台 Azure Sphere 之后,它还向钻研人员凋谢了该服务,目标是在黑客攻击之前辨认高影响力的破绽。
随着越来越多的企业将数据迁徙到云中,保障基础设施的平安正变得前所未有的重要。