Khi các doanh nghiệp ngày càng chuyển sang đám mây, việc bảo mật cơ sở hạ tầng chưa bao giờ quan trọng hơn.
Hiện tại theo nghiên cứu mới nhất, hai lỗi bảo mật trong Dịch vụ ứng dụng Azure của Microsoft có thể đã cho phép kẻ xấu thực hiện giả mạo yêu cầu phía máy chủ (SSRF) tấn công hoặc thực thi mã tùy ý và chiếm lấy máy chủ quản trị.
“Điều này cho phép kẻ tấn công âm thầm chiếm đoạt máy chủ git của Dịch vụ ứng dụng hoặc cấy ghép các trang lừa đảo độc hại có thể truy cập thông qua Cổng Azure để nhắm mục tiêu quản trị viên hệ thống”, công ty an ninh mạng Intezer cho biết trong một báo cáo được xuất bản ngày hôm nay và được chia sẻ với The Hacker News.
Các lỗ hổng đã được báo cáo cho Microsoft vào tháng 6, sau đó công ty đã giải quyết chúng.
Dịch vụ ứng dụng Azure là một nền tảng dựa trên điện toán đám mây được sử dụng như một dịch vụ web lưu trữ để xây dựng các ứng dụng web và phụ trợ di động.
Khi một Dịch vụ ứng dụng được tạo qua Azure, một môi trường Docker mới sẽ được tạo với hai nút vùng chứa – nút người quản lý và nút ứng dụng – cùng với việc đăng ký hai miền trỏ đến máy chủ web HTTP của ứng dụng và trang quản trị của dịch vụ ứng dụng, trong đó chuyển đòn bẩy Kudu cho triển khai liên tục của ứng dụng từ các nhà cung cấp kiểm soát nguồn như GitHub hoặc Bitbucket.
Tương tự như vậy, việc triển khai Azure trên môi trường Linux được quản lý bởi một dịch vụ có tên KuduLite, cung cấp thông tin chẩn đoán về hệ thống và bao gồm giao diện web tới SSH vào nút ứng dụng (được gọi là “webssh“).
Lỗ hổng đầu tiên là một lỗ hổng báo cáo đặc quyền cho phép tiếp quản KuduLite thông qua thông tin đăng nhập được mã hóa cứng (“root: Docker!”) Để có thể SSH vào phiên bản và đăng nhập bằng quyền root, do đó cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ web SCM (hay còn gọi là Quản lý cấu hình phần mềm).
Theo các nhà nghiên cứu, điều này có thể cho phép kẻ thù “lắng nghe các yêu cầu HTTP của người dùng đến trang web SCM, thêm các trang của chúng tôi và đưa Javascript độc hại vào trang web của người dùng.”
Lỗ hổng bảo mật thứ hai liên quan đến cách nút ứng dụng gửi yêu cầu đến API KuduLite, có khả năng cho phép ứng dụng web có lỗ hổng SSRF truy cập vào hệ thống tệp của nút và ăn cắp mã nguồn cũng như các tài sản nhạy cảm khác.
Các nhà nghiên cứu cho biết: “Kẻ tấn công cố gắng giả mạo yêu cầu POST có thể thực hiện mã từ xa trên nút ứng dụng thông qua API lệnh”.
Hơn nữa, việc khai thác thành công lỗ hổng thứ hai cho thấy kẻ tấn công có thể xâu chuỗi hai vấn đề để tận dụng lỗ hổng SSRF và nâng cao đặc quyền của chúng để chiếm lấy phiên bản máy chủ web KuduLite.
Về phần mình, Microsoft đã và đang liên tục làm việc để cải thiện bảo mật trong không gian đám mây và Internet vạn vật (IoT). Sau khi cung cấp nền tảng IoT tập trung vào bảo mật Azure Sphere vào đầu năm nay, nó cũng đã đã mở ra cho các nhà nghiên cứu để đột nhập vào dịch vụ với mục đích “xác định các lỗ hổng có tác động cao trước tin tặc.”
Intezer cho biết: “Đám mây cho phép các nhà phát triển xây dựng và triển khai các ứng dụng của họ với tốc độ và độ linh hoạt cao, tuy nhiên, cơ sở hạ tầng thường dễ bị tấn công bởi các lỗ hổng ngoài tầm kiểm soát của họ”. “Trong trường hợp Dịch vụ ứng dụng, các ứng dụng được đồng lưu trữ với một vùng chứa quản trị bổ sung và […] các thành phần bổ sung có thể mang lại các mối đe dọa bổ sung. “
“Như một phương pháp hay nhất nói chung, bảo mật đám mây thời gian chạy là tuyến phòng thủ quan trọng cuối cùng và là một trong những hành động đầu tiên bạn có thể làm để giảm rủi ro, vì nó có thể phát hiện việc tiêm mã độc và các mối đe dọa trong bộ nhớ khác diễn ra sau khi có lỗ hổng bảo mật. bị kẻ tấn công lợi dụng. “
