Vulnerabilidades en el servicio en la nube de Microsoft Azure

Investigadores han revelado dos fallas en el servicio de aplicaciones de alojamiento web Azure de Microsoft, App Services, que si se explotan podrían permitir a un atacante hacerse cargo de los servidores administrativos.

Azure App Services es un servicio basado en HTTP para alojar aplicaciones web y está disponible tanto en la nube de Microsoft Azure como en instalaciones locales. Los investigadores encontraron dos vulnerabilidades en el servicio en la nube que afectan específicamente a los servidores Linux.

«Las dos vulnerabilidades que encontramos nos permiten combinarlas y habilitar a cualquier atacante con la capacidad de falsificar solicitudes de publicación (SSRF) o ejecución de código [remoto] en un servicio de aplicaciones de Azure para hacerse cargo del servidor de administración de servicios de aplicaciones de Azure», dijo Paul Litvak. , investigador de Intezer, en una publicación del jueves.

Errores de KuduLite

La primera falla proviene de un proyecto de código abierto llamado KuduLite dentro de Azure App Services. Este proyecto de Linux gestiona la página de administración que se usa para registrar administradores en el App Service Plan (para comenzar a usar App Services, el usuario primero debe crear un App Service Plan).

Después de descubrir que el servicio SSH de la instancia de KuduLite usa credenciales codificadas «root: Docker!» para acceder al nodo de la aplicación, los investigadores pudieron iniciar sesión como root.

Después de tomar el control de la instancia de KuduLite, los investigadores podrían obtener el control sobre el servidor web Software Configuration Management (SCM), que administra y controla sistemáticamente los cambios en los documentos y códigos durante el ciclo de vida del desarrollo de software. Esto les permitió luego escuchar las solicitudes HTTP de un usuario a la página web de SCM, agregar sus propias páginas e inyectar Javascript malicioso en la página web del usuario.

El segundo defecto existe en la API de KuduLite. El problema aquí se debe a que el nodo de la aplicación puede enviar solicitudes a la validación de acceso sin acceso de la API KuduLite, un error que es especialmente problemático cuando se considera una aplicación web con una vulnerabilidad SSRF, dijeron los investigadores.

Un atacante que logra falsificar una solicitud POST, mientras tanto, puede lograr la ejecución remota de código en el nodo de la aplicación a través de la API de comando, dijeron. Y, en Windows (donde se usa Kudu), los paquetes enviados desde el nodo de la aplicación al nodo administrador se descartan.

Estas dos vulnerabilidades se pueden encadenar, ya que una vez que un atacante logra la ejecución del código con la segunda vulnerabilidad, puede aprovechar la primera. Un vector de ataque potencial aquí es que un atacante use esta falla para implantar una página de phishing en lo que se supone que es la página web de SCM (como se ve en el video a continuación).

Los investigadores enfatizaron que la seguridad en la nube todavía es relativamente nueva , por lo que es esencial investigar y documentar las nuevas superficies de ataque que surgen al utilizar estos servicios.