随着企业愈来愈多地迁移到云中,保护基础架构变得史无前例的重要。git
近日,根据网络安全组织东方联盟的最新研究,Microsoft的Azure应用服务中的两个安全漏洞可能使不良行为者可以进行服务器端请求伪造(SSRF)攻击或执行任意代码并接管管理服务器。web
网络安全公司在今天发布并共享的一份报告中说:“这使攻击者可以悄悄接管App Service的git服务器,或植入可经过Azure门户访问的恶意网络钓鱼页面,以锁定目标系统管理员。”后端
研究人员发现后,该漏洞已于6月份报告给Microsoft,以后公司对该漏洞进行了解决。安全
Azure App Service是基于云计算的平台,用做构建Web应用程序和移动后端的托管Web服务。服务器
经过Azure建立应用程序服务时,将建立一个新的Docker环境,其中包含两个容器节点(管理器节点和应用程序节点),并注册两个指向应用程序的HTTP Web服务器和应用程序服务的管理页面的域。转杠杆捻用于持续部署从源控制供应商,如GitHub的或到位桶的应用程式。网络
一样,Linux环境上的Azure部署由称为KuduLite的服务管理,该服务提供有关系统的诊断信息,并包含一个SSH到应用程序节点的Web界面(称为“ webssh ”)。架构
第一个漏洞是特权升级漏洞,它容许经过硬编码凭据(“ root:Docker!”)接管KuduLite,从而能够经过SSH进入实例并以root用户身份登陆,从而使攻击者能够彻底控制SCM(又名软件配置管理)Web服务器。ssh
研究人员认为,这可使对手“侦听用户对SCM网页的HTTP请求,添加咱们本身的页面,并将恶意Javascript注入用户的网页”。编码
第二个安全漏洞涉及应用程序节点将请求发送到KuduLite API的方式,这可能容许具备SSRF漏洞的Web应用程序访问节点的文件系统并窃取源代码和其余敏感资产。云计算
研究人员说:''设法伪造POST请求的攻击者能够经过命令API在应用程序节点上实现远程代码执行。''
并且,成功利用第二个漏洞意味着攻击者能够将两个问题联系在一块儿,以利用SSRF漏洞并提高他们的特权来接管KuduLite Web服务器实例。
就其自己而言,Microsoft一直在努力改善云和物联网(IoT)空间中的安全性。在今年早些时候提供其以安全性为重点的物联网平台Azure Sphere以后,它还向研究人员开放了该服务,使其可以进入该服务,以“在黑客面前肯定高影响力漏洞”。
知名白帽黑客、东方联盟创始人郭盛华表示:“云使开发人员可以快速,灵活地构建和部署应用程序,可是,基础架构常常容易受到其控制以外的漏洞的影响。对于App Services,应用程序与其余管理容器共同托管,而且其余组件可能带来其余威胁。做为通常的最佳实践,运行时云安全性是重要的最后一道防线,也是能够下降风险的第一批措施之一,由于它能够检测到恶意软件注入和漏洞发生后发生的其余内存中威胁,被攻击者利用。” (欢迎转载分享)