I tuoi server Microsoft Azure sono a rischio: rilevate 2 vulnerabilità critiche

I tuoi server Microsoft Azure sono a rischio: rilevate 2 vulnerabilità critiche

Un gruppo di esperti ha rivelato di aver rilevato due vulnerabilità critiche in App Services, un servizio gestito da Microsoft Azure. Lo sfruttamento di questi difetti consentirebbe agli attori delle minacce di assumere il controllo di un server amministrativo Linux.

Nel rapporto, gli esperti di sicurezza di Intezer affermano che gli errori riscontrati consentirebbero agli aggressori di ottenere la capacità di falsificare le richieste di pubblicazione e persino di eseguire codice remoto nel servizio app per distribuire attività dannose aggiuntive. I due difetti sono stati rilevati un paio di mesi fa. Dopo aver ricevuto il rapporto, Microsoft ha iniziato a lavorare su un aggiornamento.

La prima delle vulnerabilità è stata rilevata in KuduLite, un progetto open source all'interno di App Services per gestire la pagina di amministrazione utilizzata per registrare gli amministratori di App Services. Dopo aver scoperto che il servizio SSH sull'istanza KuduLite utilizza "root: Docker!" credenziali codificate per accedere al nodo dell'applicazione, gli esperti sono stati in grado di accedere come utente root.

Una volta ottenuto il controllo della distribuzione di KuduLite, gli esperti sono stati in grado di mantenere il controllo sul server Web SCM (Software Configuration Management), responsabile della gestione e del controllo sistematico delle modifiche ai documenti e ai codici durante il ciclo di sviluppo Web.

Infine, i ricercatori sono stati in grado di accedere alle richieste HTTP di un utente in SCM, aggiungere le proprie richieste e attivare l'iniezione di codice JavaScript dannoso nel contesto di un sito vulnerabile.

D'altra parte, la seconda vulnerabilità risiede nell'API KuduLite ed esiste perché il nodo dell'app può inviare richieste di convalida dell'accesso senza accesso API, che può causare gravi problemi se viene eseguita in un'applicazione web vulnerabile agli attacchi SSRF.

Se un utente malintenzionato riesce a falsificare una richiesta POST, può ottenere l'esecuzione di codice in modalità remota sul nodo dell'applicazione tramite l'API di comando sui sistemi Linux. Nei sistemi Windows (dove viene utilizzato Kudu), i pacchetti inviati dal nodo dell'applicazione al nodo amministratore vengono scartati.

Un potenziale attacco richiede che i due difetti vengano sfruttati insieme, perché quando gli aggressori ottengono l'esecuzione del codice utilizzando il secondo difetto, è possibile sfruttare anche il primo. Gli autori delle minacce potrebbero utilizzare attacchi di phishing per sfruttare questi difetti.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.