Les chercheurs en cybersécurité ont partagé plus de détails sur une faille de sécurité désormais corrigée dans Azure Service Fabric Explorer (SFX) qui pourrait potentiellement permettre à un attaquant d’obtenir des privilèges d’administrateur sur le cluster.

La vulnérabilité, suivie comme CVE-2022-35829porte un indice de gravité CVSS de 6,2 et a été traité par Microsoft dans le cadre de ses mises à jour Patch Tuesday la semaine dernière.

La Cyber-Sécurité

Orca Security, qui découvert et signalé la faille au géant de la technologie le 11 août 2022, surnommée la vulnérabilité FabriXss (prononcez « tissus »). Cela a un impact sur Azure Fabric Explorer version 8.1.316 et antérieure.

SFX est décrit par Microsoft comme un outil open source pour inspecter et gérer Structure de services Azure clusters, une plate-forme de systèmes distribués utilisée pour créer et déployer des applications cloud basées sur des microservices.

1

La vulnérabilité est enracinée dans le fait qu’un utilisateur avec autorisations pour « Créer une application de composition » via le client SFX peut tirer parti des privilèges pour créer une application malveillante et abuser d’un script intersite stocké (XSS) faille dans le champ « Application name » pour glisser la charge utile.

Publicité
La Cyber-Sécurité

Armé de cet exploit, un adversaire peut envoyer l’entrée spécialement conçue lors de l’étape de création de l’application, conduisant éventuellement à son exécution.

Demo

« Cela inclut l’exécution d’une réinitialisation du nœud de cluster, qui efface tous les paramètres personnalisés tels que les mots de passe et les configurations de sécurité, permettant à un attaquant de créer de nouveaux mots de passe et d’obtenir une pleine Autorisations d’administrateur« , ont déclaré Lidor Ben Shitrit et Roee Sagi, chercheurs d’Orca Security.


Rate this post
Publicité
Article précédentLe développeur de Bayonetta 3 conteste l’affirmation de l’acteur vocal selon laquelle on lui aurait offert 4 000 $ pour reprendre son rôle
Article suivantComment installer Joomla sur Ubuntu Linux : un guide complet
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici