یک نقص جدید به نام EmojiDeploy و از نوع اجرای کد از راه دور (RCE) کشف شده که بر چندین سرویس مرتبط با Microsoft Azure تأثیر میگذارد و میتواند توسط یک عامل مخرب برای کنترل کامل یک برنامه هدفمند مورد بهرهبرداری قرار گیرد.
Liv Matan، محقق Ermetic در گزارشی که با The Hacker News به اشتراک گذاشته شده است، دراینباره گفت[۱]: «این آسیبپذیری از طریق [۲]CSRF (جعل درخواستهای بینسایتی) در سرویس SCM Kudu به دست میآید. با بهرهبرداری از این آسیبپذیری، مهاجمان میتوانند فایلهای ZIP مخرب حاوی payload را در برنامه Azure قربانی مستقر کنند.
این شرکت امنیت زیرساخت ابری که این نقص را EmojiDeploy را نامیده است، گفت که میتواند سرقت دادههای حساس و جابجایی جانبی به سایر سرویسهای Azure را بیشتر کند.
مایکروسافت از ۶ دسامبر ۲۰۲۲، پس از افشای مسئولانه در ۲۶ اکتبر ۲۰۲۲، علاوه بر اعطای جایزه باگ ۳۰٫۰۰۰ دلاری، این آسیبپذیری را برطرف کرده است.
سازنده ویندوز Kudu را بهعنوان «موتور پشت تعدادی از ویژگیهای Azure App Service مربوط به استقرار مبتنی بر کنترل منبع، و سایر روشهای استقرار مانند Dropbox و OneDrive sync» توصیف میکند[۳].
در یک زنجیره حمله فرضی که توسط Ermetic ابداع شده است، یک دشمن میتواند از آسیبپذیری CSRF در پانل Kudu SCM برای شکست دادن پادمانهایی که برای خنثی کردن حملات [۴]cross-origin با ارسال یک درخواست دستکاریشدهی خاص به نقطه پایانی “/api/zipdeploy” برای تحویل دادن یک بایگانی مخرب (بهعنوانمثال، پوسته وب) استفاده کرده و یک دسترسی از راه دور به دست آورد.
جعل درخواستهای متقابل سایت، که بهعنوان sea surf یا session riding نیز شناخته میشود، یک بردار حمله است که بهموجب آن یک عامل تهدید، کاربر تأییدشده یک برنامه وب را فریب میدهد تا دستورات غیرمجاز را از طرف او اجرا کند.
فایل ZIP، بهنوبه خود، در بدنه درخواست HTTP کدگذاری شده است، و برنامه قربانی را وادار میکند تا از طریق دور زدن سیاست same-origin[5]، به یک دامنه تحت کنترل بازیگر که میزبان یک دژافزار است، هدایت شود.
این شرکت دراینباره گفت: «تأثیر آسیبپذیری بر سازمان بهصورت کلی به مجوزهای هویت مدیریتشده برنامهها بستگی دارد. بهکارگیری مؤثر اصل حداقل دسترسیها میتواند شعاع انفجار را بهطور قابلتوجهی محدود کند».
این یافتهها چند روز پسازآن است که Orca Security چهار مورد از حملات جعل درخواست سمت سرور (SSRF) را فاش کرد[۶] که بر مدیریت API Azure، توابع Azure، یادگیری ماشینی Azure وAzure Digital Twins تأثیر گذاشت.
منابع
[۱] https://ermetic.com/blog/azure/emojideploy-smile-your-azure-web-service-just-got-rced
[۲] https://owasp.org/www-community/attacks/csrf
[۳] https://learn.microsoft.com/en-us/azure/app-service/resources-kudu
[۴] https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
[۵] https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
[۶] https://thehackernews.com/2023/01/microsoft-azure-services-flaws-couldve.html
[۷] https://thehackernews.com/2023/01/new-microsoft-azure-vulnerability.html
ثبت ديدگاه