文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Microsoft Azure安全漏洞分析

2024-12-10 16:08

关注

       [[345093]]

Azure App Services

Azure App Services是一个基于HTTP的web应用托管服务,可以通过Microsoft Azure Cloud 云或安装来使用。App Services 允许开发者写一个应用来服务HTTP,然后推送给git。然后Azure会处理所有的部署详情并提供Azure管理的域名。

为开始使用App Services,用户必须首先创建一个App Service Plan,这是App Services将要使用的机器。机器的主要目的是托管App Service 容器。

一旦用户创建了App Service,Azure就会创建一个包含2个容器节点的新的Docker环境:管理节点和应用节点。然后回注册2个域名:

· app.azurewebsites.net – 指向应用的HTTP web服务器;

· app.scm.azurewebsites.net – 指向Azure提供的App Service管理页面。

 

管理页面是由微软开源项目Kudu提供的。在Linux 系统中,有一个类似的项目叫做KuduLite。Kudu实例由管理节点托管,而应用本身由应用节点托管。

在Linux系统中,KuduLite 实例回提供给用户关于系统的诊断信息,包括Docker日志、设置和其他环境信息。如果用户选择用Azure 托管app的git,就会由Kudu 服务管理。

另一个有用的特征是kudu实例中运行交互式bash的web接口和另一个名为webssh的web接口。

app节点中的有用会以root权限运行,研究人员可以通过SSH 以root权限登入。在访问Kudu 实例时,实际上是一个低权限的用户:

该用户只能与/home交互,并且无法在其他目录中写文件。但在该实例中安装了ClamAV。

Linux App Services环境如下图所示:

漏洞 1: KuduLite Takeover/EoP

在调查webssh如何连接到web接口到应用节点的SSH服务,研究人员发现其使用硬编码的凭证“root:Docker!” 来访问应用节点:

因为KuduLite 实例也运行SSH,所以就可以用相同的凭证来以root权限登陆:

因为可以控制KuduLite,因此可以完全控制SCM web服务器。可以监听用户发送给SCM web页面的HTTP请求、添加自己的页面、注入恶意JS内容到用户web页面。

研究人员首先尝试从发送给服务器的请求中窃取SCM 用户cookie。此外,cookie还有一个HttpOnly 属性,也就是说无法用客户端浏览器的JS窃取。

但攻击者仍然可以利用该漏洞来植入一个伪装成SCM web页面的钓鱼页面。用户可以选择App Services 来管理git 服务器,攻击者可以添加恶意代码到库中来实现驻留并传播到其他使用相同的git 服务器的实例。

漏洞2: KuduLite缺乏访问限制允许本地文件包含或远程代码执行

第二个漏洞位于KuduLite API 中,与Kudu的 API非常类似。应用节点可以在无需任何访问验证的情况下发送请求到KuduLite API。当web app中含有SSRF 漏洞时问题就很严重了。

能够伪造GET 请求的攻击者可能可以通过KuduLite VFS API 来访问应用节点的文件系统:

攻击者可以很轻易地窃取应用节点的源码和其他资产。

可以伪造POST 请求的攻击者可以通过命令API 在应用节点上实现远程代码执行:

 

相比之下,在Windows 中,从应用节点发送给管理节点的包会被丢弃。

最后,这两个漏洞被串起来后,攻击者就可以实现远程代码执行。

总结

云服务使得开发者可以快速和灵活地部署应用。但这些基础设施常常会存在漏洞。研究人员在微软Azure App Services中发现了2个安全漏洞,攻击者利用这2个安全漏洞可以实现远程代码执行。研究人员将该漏洞提交给了微软,目前漏洞已经修复。

本文翻译自:https://www.intezer.com/blog/cloud-security/kud-i-enter-your-server-new-vulnerabilities-in-microsoft-azure/如若转载,请注明原文地址:

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯