卢透晚报 黑客可攻击或执行任意代码,微软云平台曝严重漏洞
随着企业越来越多地迁移到云中 , 保护基础架构变得前所未有的重要 。
近日 , 根据网络安全组织东方联盟的最新研究 , Microsoft的Azure应用服务中的两个安全漏洞可能使不良行为者能够进行服务器端请求伪造(SSRF)攻击或执行任意代码并接管管理服务器 。
文章图片
网络安全公司在今天发布并共享的一份报告中说:“这使攻击者能够悄悄接管AppService的git服务器 , 或植入可通过Azure门户访问的恶意网络钓鱼页面 , 以锁定目标系统管理员 。 ”
研究人员发现后 , 该漏洞已于6月份报告给Microsoft , 之后公司对该漏洞进行了解决 。
AzureAppService是基于云计算的平台 , 用作构建Web应用程序和移动后端的托管Web服务 。
通过Azure创建应用程序服务时 , 将创建一个新的Docker环境 , 其中包含两个容器节点(管理器节点和应用程序节点) , 并注册两个指向应用程序的HTTPWeb服务器和应用程序服务的管理页面的域 。 转杠杆捻用于持续部署从源控制供应商 , 如GitHub的或到位桶的应用程式 。
【卢透晚报 黑客可攻击或执行任意代码,微软云平台曝严重漏洞】同样 , Linux环境上的Azure部署由称为KuduLite的服务管理 , 该服务提供有关系统的诊断信息 , 并包含一个SSH到应用程序节点的Web界面(称为“webssh”) 。
第一个漏洞是特权升级漏洞 , 它允许通过硬编码凭据(“root:Docker!”)接管KuduLite , 从而可以通过SSH进入实例并以root用户身份登录 , 从而使攻击者可以完全控制SCM(又名软件配置管理)Web服务器 。
文章图片
研究人员认为 , 这可以使对手“侦听用户对SCM网页的HTTP请求 , 添加我们自己的页面 , 并将恶意Javascript注入用户的网页” 。
第二个安全漏洞涉及应用程序节点将请求发送到KuduLiteAPI的方式 , 这可能允许具有SSRF漏洞的Web应用程序访问节点的文件系统并窃取源代码和其他敏感资产 。
研究人员说:''设法伪造POST请求的攻击者可以通过命令API在应用程序节点上实现远程代码执行 。 ''
而且 , 成功利用第二个漏洞意味着攻击者可以将两个问题联系在一起 , 以利用SSRF漏洞并提升他们的特权来接管KuduLiteWeb服务器实例 。
就其本身而言 , Microsoft一直在努力改善云和物联网(IoT)空间中的安全性 。 在今年早些时候提供其以安全性为重点的物联网平台AzureSphere之后 , 它还向研究人员开放了该服务 , 使其能够进入该服务 , 以“在黑客面前确定高影响力漏洞” 。
知名白帽黑客、东方联盟创始人郭盛华表示:“云使开发人员能够快速 , 灵活地构建和部署应用程序 , 但是 , 基础架构经常容易受到其控制之外的漏洞的影响 。 对于AppServices , 应用程序与其他管理容器共同托管 , 并且其他组件可能带来其他威胁 。 作为一般的最佳实践 , 运行时云安全性是重要的最后一道防线 , 也是可以降低风险的第一批措施之一 , 因为它可以检测到恶意软件注入和漏洞发生后发生的其他内存中威胁 , 被攻击者利用 。 ”(欢迎转载分享)
- 松鼠热点|这是诈骗,加入这样的群赶紧退了
- 新民晚报|国债作为保证金业务上线首日运行平稳
- 新民晚报|检察机关对一批虚开发票企业作出相对不起诉决定 原因是……
- 新民晚报|第三届进博会服务贸易展区面积达3万平米 五大板块集聚250家展商
- 扬子晚报|禁渔区捕鱼“尝鲜” 不料民警从天而降
- 扬子晚报|网约车高架失控撞上隔离墩,后排女乘客受伤
- 扬子晚报|袁女士终于等来了一场网恋,倾家荡产还欠债的那种
- 扬子晚报|银行卡被人盗刷6千多元 幕后黑手竟是昔日好友
- 扬子晚报|八旬奶奶出门迷路 人脸识别助其回家
- 扬子晚报|两岁男童迷路幸遇热心市民,民警化身“超级奶爸”花式哄娃