Quatre services Microsoft Azure différents ont été trouvés vulnérables à la falsification de requête côté serveur (SSRF) des attaques qui pourraient être exploitées pour obtenir un accès non autorisé aux ressources du cloud.
Les problèmes de sécurité, qui ont été découverts par Orca entre le 8 octobre 2022 et le 2 décembre 2022 dans Azure API Management, Azure Functions, Azure Machine Learning et Azure Digital Twins, ont depuis été résolus par Microsoft.
« Les vulnérabilités Azure SSRF découvertes ont permis à un attaquant d’analyser les ports locaux, de trouver de nouveaux services, points de terminaison et fichiers sensibles – fournissant des informations précieuses sur les serveurs et services éventuellement vulnérables à exploiter pour l’entrée initiale et l’emplacement des informations sensibles à cibler », a déclaré un chercheur d’Orca. Par Lidor Ben Shitrit m’a dit dans un rapport partagé avec The Hacker News.
Deux des vulnérabilités affectant Azure Functions et Azure Digital Twins pourraient être exploitées sans nécessiter aucune authentification, permettant à un acteur malveillant de prendre le contrôle d’un serveur sans même avoir un compte Azure en premier lieu.
Les attaques SSRF pourraient avoir conséquences sérieuses car ils permettent à un intrus malveillant de lire ou de mettre à jour des ressources internes, et pire encore, de pivoter vers d’autres parties du réseau, de violer des systèmes autrement inaccessibles pour extraire des données précieuses.
Trois des failles sont classées importantes en gravité, tandis que la faille SSRF affectant Azure Machine Learning est classée en gravité faible. Toutes les faiblesses peuvent être exploitées pour manipuler un serveur afin de lancer de nouvelles attaques contre une cible sensible.
Un bref résumé des quatre vulnérabilités est le suivant –
- SSRF non authentifié sur Azure Digital Twins Explorer via une faille dans le point de terminaison /proxy/blob qui pourrait être exploitée pour obtenir une réponse de tout service dont le suffixe est « blob.core.windows »[.]rapporter »
- Fonctions SSRF non authentifiées sur Azure qui pourraient être exploitées pour énumérer les ports locaux et accéder aux points de terminaison internes
- SSRF authentifié sur le service Azure API Management qui pourrait être exploité pour répertorier les ports internes, dont un associé à un service de gestion de code source qui pourrait ensuite être utilisé pour accéder à des fichiers sensibles
- SSRF authentifié sur le service Azure Machine Learning via le point de terminaison /datacall/streamcontent qui pourrait être exploité pour récupérer du contenu à partir de points de terminaison arbitraires
Pour atténuer ces menaces, il est recommandé aux organisations de valider toutes les entrées, de s’assurer que les serveurs sont configurés pour n’autoriser que le trafic entrant et sortant nécessaire, d’éviter les erreurs de configuration et d’adhérer au principe du moindre privilège (PoLP).
« L’aspect le plus notable de ces découvertes est sans doute le nombre de vulnérabilités SSRF que nous avons pu trouver avec un minimum d’effort, indiquant juste à quel point ils sont répandus et le risque qu’ils posent dans les environnements cloud », a déclaré Ben Shitrit.