安全研究人员在 Microsoft Azure云服务发现漏洞
Microsoft Azure应用服务存在两个安全漏洞,可导致黑客进行服务器端请求伪造攻击或执行任意代码并接管服务器。
网络安全公司Intezer已于六月份将漏洞提交给微软,该漏洞得到修复,目前前者在一份报告中披露了上述两个漏洞。
攻击者可接管App Service的git服务器或植入可通过Azure门户访问的恶意网络钓鱼页面,从而锁定目标系统管理员。
第一个漏洞为权限提升漏洞,允许通过硬编码凭据接管提供有关系统诊断信息的KuduLite服务管理 (“root:Docker!”)。
可导致SSH能够进入实例并以root用户身份登录,从而允许攻击者完全控制SCM(又名软件配置管理)web服务器。
从而使导致攻击者“侦听用户对SCM网页的HTTP请求,添加我们自己的页面,并将恶意Javascript注入用户的网页”。
第二个漏洞涉及应用程序节点向KuduLite API发送请求的方式,或允许具有SSRF漏洞的应用程序访问节点文件系统。
而且黑客利用该漏洞还能窃取源代码和其他敏感信息,然后通过提升权限的方式直接接管KuduLite Web服务器实例。
没有人能保证任何系统、任何服务都是非常完美的、需求越多、功能越多、代码就会越复杂,漏洞也可能随之增加。
在这个全民上云的时代,安全问题对云服务提供商来说非常关键,所幸微软一直在努力改善云和物联网空间安全性。