Microsoft a en fait couvert trois nouvelles vulnérabilités dans le service de gestion des API Azure qui comprend deux falsifications de requêtes côté serveur (SSRF ) vulnérabilités et parcours de téléchargement de fichiers sur un travail Azure interne, selon la société de cybersécurité Ermetic.
Les vulnérabilités ont été atteintes grâce à des contournements de formatage d’URL et à une performance de téléchargement de fichiers illimitée sur le site Web du concepteur de gestion d’API, a déclaré Ermetic. . La société de cybersécurité a identifié les vulnérabilités en décembre et Microsoft les a corrigées en janvier.
Azure API Management est une plate-forme en tant que service (PaaS) gérée conçue pour permettre aux entreprises d’établir et de gérer en toute sécurité des API sur des réseaux hybrides. et environnements informatiques multicloud.
« En abusant des vulnérabilités SSRF, les agresseurs peuvent envoyer des requêtes depuis le CORS du service [cross -partage des ressources d’origine] Le proxy et le proxy d’hébergement lui-même, accèdent aux propriétés internes d’Azure, refusent le service et contournent les programmes de pare-feu d’applications Web « , a déclaré Ermetic dans une alerte de recherche jeudi, ajoutant que grâce à la traversée du cours de téléchargement de fichiers, les opposants pourraient également publier des programmes malveillants fichiers vers le travail interne hébergé d’Azure et vers les portails de concepteurs auto-hébergés.
La vulnérabilité SSRF contourne la réparation précédente
Sur les deux vulnérabilités SSRF distinctes qui ont été reconnues, l’une a eu un impact sur la gestion des API Azure Le proxy CORS et l’autre ont affecté le proxy d’hébergement de gestion des API Azure.
Le proxy CORS de gestion des API Azure a d’abord été considéré comme une réplique d’une vulnérabilité précédemment signalée qui a été corrigée par Microsoft. Il a été découvert plus tard que la vulnérabilité contournait cette réparation initiale. Microsoft a finalement totalement couvert la vulnérabilité en janvier.
Les vulnérabilités SSRF ont affecté les serveurs centraux dont dépendent de nombreux utilisateurs et organisations pour les opérations quotidiennes. » En les utilisant, les attaquants pourraient fausser les demandes de ces serveurs légitimes, accéder à des services internes pouvant inclure des informations sensibles provenant de clients Azure, et même empêcher la programmation des serveurs sensibles « , a déclaré Ermetic dans l’étude.
Effet de la vulnérabilité transversale de cours au-delà d’Azure
Azure ne confirme pas le type de fichier et le cours des fichiers téléchargés sur le portail des développeurs Azure pour le service de gestion des API. « Les utilisateurs validés peuvent passer par le chemin spécifié lors de la soumission des fichiers, télécharger des fichiers malveillants sur le serveur du portail du concepteur et éventuellement y exécuter du code en utilisant le piratage de DLL, la commutation de configuration iisnode ou tout autre vecteur d’attaque pertinent », a déclaré Ermetic.
Le site Web du développeur a également une fonction d’auto-hébergement suggérant que la vulnérabilité affecte non seulement Azure, mais également les utilisateurs finaux qui ont eux-mêmes publié le portail du concepteur, selon Ermetic.
Des vulnérabilités récemment déterminées dans Azure
Récemment, quelques autres vulnérabilités vitales ont été déterminées dans Azure.
Le mois dernier, un » by- » Un défaut de conception a été identifié dans Microsoft Azure qui pourrait être utilisé par des attaquants pour accéder aux comptes de stockage, se déplacer latéralement dans des environnements de calcul et même exécuter du code à distance, selon une étude de la société de cybersécurité Whale.
Pour éviter les exploits du défaut, les scientifiques ont encouragé les organisations à désactiver l’autorisation Azure Shared Secret et à utiliser plutôt l’authentification de site Azure Active Directory. Les organisations doivent également appliquer le principe du moindre avantage afin de réduire considérablement ce danger, a déclaré Whale.
En janvier, Ermetic a reconnu une vulnérabilité d’exécution de code à distance affectant des services tels que Function Apps, App Service , Logic Apps sur Azure Cloud et d’autres services cloud. La vulnérabilité, baptisée EmojiDeploy, est atteinte par la falsification d’adresses intersites (CSRF) sur le service omniprésent de gestion des modifications d’applications logicielles (SCM) Kudu. En abusant de la vulnérabilité, les ennemis peuvent déployer des fichiers zip nuisibles, y compris une charge utile sur l’application Azure de la victime.
Toute l’actualité en temps réel, est sur L’Entrepreneur
