I ricercatori trovano le vulnerabilità in Microsoft Azure Cloud Service
Buongiorno cari lettori, oggi parleremo dei ricercatori trovano le vulnerabilità in Microsoft Azure Cloud Service
Poiché le aziende stanno migrando sempre più verso il cloud, la sicurezza dell'infrastruttura non è mai stata così importante.
Ora, secondo le ultime ricerche, due falle nella sicurezza di Azure App Services di Microsoft avrebbero potuto consentire a un cattivo attore di effettuare attacchi di richiesta di falsificazione lato server (SSRF) o di eseguire codici arbitrari e prendere il controllo del server di amministrazione.
"Questo permette a un aggressore di prendere tranquillamente il controllo del git server dell'App Service, o di impiantare pagine di phishing dannoso accessibili attraverso Azure Portal per colpire gli amministratori di sistema", ha detto la società di sicurezza informatica Intezer in un rapporto pubblicato oggi e condiviso con The Hacker News.
Scoperti da Paul Litvak di Intezer Labs, i difetti sono stati segnalati a Microsoft nel mese di giugno, dopo di che l'azienda li ha successivamente affrontati.
Azure App Service è una piattaforma basata sul cloud computing che viene utilizzata come servizio web di hosting per la costruzione di applicazioni web e backend mobili.
Quando un App Service viene creato tramite Azure, viene creato un nuovo ambiente Docker con due nodi container - un nodo manager e il nodo dell'applicazione - insieme alla registrazione di due domini che puntano al server web HTTP dell'applicazione e alla pagina di amministrazione dell'app service, che a sua volta sfrutta Kudu per la distribuzione continua dell'applicazione da fornitori di controllo di origine come GitHub o Bitbucket.
Allo stesso modo, le distribuzioni Azure su ambienti Linux sono gestite da un servizio chiamato KuduLite, che offre informazioni diagnostiche sul sistema e consiste in un'interfaccia web verso SSH nel nodo dell'applicazione (chiamato "webssh").
La prima vulnerabilità è un difetto di escalation dei privilegi che permette di rilevare KuduLite tramite credenziali hard-coded ("root:Docker!") che rende possibile l'accesso a SSH nell'istanza e il login come root, permettendo così ad un aggressore il controllo completo sul webserver SCM (aka Software Configuration Management).
vulnerabilità dell'esecuzione remota del codice
Secondo i ricercatori, questo potrebbe consentire a un avversario di "ascoltare le richieste HTTP di un utente alla pagina web SCM, aggiungere le nostre pagine e iniettare Javascript maligni nella pagina web dell'utente".
La seconda vulnerabilità di sicurezza riguarda il modo in cui il nodo dell'applicazione invia le richieste alle API KuduLite, permettendo potenzialmente a un'applicazione web con una vulnerabilità SSRF di accedere al file system del nodo e rubare il codice sorgente e altri asset sensibili.
"Un aggressore che riesce a falsificare una richiesta POST può ottenere l'esecuzione remota del codice sul nodo dell'applicazione tramite l'API di comando", hanno detto i ricercatori.
Inoltre, il successo dello sfruttamento della seconda vulnerabilità implica che l'attaccante può concatenare i due problemi per sfruttare il difetto della SSRF ed elevare i suoi privilegi per prendere il controllo dell'istanza del web server KuduLite.
Da parte sua, Microsoft ha lavorato costantemente per migliorare la sicurezza nel cloud e nell'Internet degli oggetti (IoT). Dopo aver reso disponibile all'inizio di quest'anno la sua piattaforma IoT Azure Sphere, incentrata sulla sicurezza, ha anche aperto il servizio ai ricercatori con l'obiettivo di "identificare le vulnerabilità ad alto impatto prima degli hacker".
"Il cloud consente agli sviluppatori di costruire e distribuire le loro applicazioni a grande velocità e flessibilità, tuttavia, spesso l'infrastruttura è suscettibile di vulnerabilità al di fuori del loro controllo", ha detto Intezer. "Nel caso degli App Services, le applicazioni sono co-ospitate con un contenitore di amministrazione aggiuntivo, e [...] componenti aggiuntivi possono portare ulteriori minacce".
"Come best practice generale, la sicurezza del cloud runtime è un'ultima importante linea di difesa e una delle prime azioni possibili per ridurre il rischio, poiché è in grado di rilevare iniezioni di codice dannoso e altre minacce in memoria che avvengono dopo che una vulnerabilità è stata sfruttata da un aggressore".
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
