Un gruppo di esperti ha rivelato di aver rilevato due vulnerabilità critiche in App Services, un servizio gestito da Microsoft Azure. Lo sfruttamento di questi difetti consentirebbe agli attori delle minacce di assumere il controllo di un server amministrativo Linux.
n
Nel rapporto, gli esperti di sicurezza di Intezer affermano che gli errori riscontrati consentirebbero agli aggressori di ottenere la capacità di falsificare le richieste di pubblicazione e persino di eseguire codice remoto nel servizio app per distribuire attività dannose aggiuntive. I due difetti sono stati rilevati un paio di mesi fa. Dopo aver ricevuto il rapporto, Microsoft ha iniziato a lavorare su un aggiornamento.
n
La prima delle vulnerabilità è stata rilevata in KuduLite, un progetto open source all’interno di App Services per gestire la pagina di amministrazione utilizzata per registrare gli amministratori di App Services. Dopo aver scoperto che il servizio SSH sull’istanza KuduLite utilizza “root: Docker!” credenziali codificate per accedere al nodo dell’applicazione, gli esperti sono stati in grado di accedere come utente root.
n
Una volta ottenuto il controllo della distribuzione di KuduLite, gli esperti sono stati in grado di mantenere il controllo sul server Web SCM (Software Configuration Management), responsabile della gestione e del controllo sistematico delle modifiche ai documenti e ai codici durante il ciclo di sviluppo Web.
n
Infine, i ricercatori sono stati in grado di accedere alle richieste HTTP di un utente in SCM, aggiungere le proprie richieste e attivare l’iniezione di codice JavaScript dannoso nel contesto di un sito vulnerabile.
n
D’altra parte, la seconda vulnerabilità risiede nell’API KuduLite ed esiste perché il nodo dell’app può inviare richieste di convalida dell’accesso senza accesso API, che può causare gravi problemi se viene eseguita in un’applicazione web vulnerabile agli attacchi SSRF.
n
Se un utente malintenzionato riesce a falsificare una richiesta POST, può ottenere l’esecuzione di codice in modalità remota sul nodo dell’applicazione tramite l’API di comando sui sistemi Linux. Nei sistemi Windows (dove viene utilizzato Kudu), i pacchetti inviati dal nodo dell’applicazione al nodo amministratore vengono scartati.
n
Un potenziale attacco richiede che i due difetti vengano sfruttati insieme, perché quando gli aggressori ottengono l’esecuzione del codice utilizzando il secondo difetto, è possibile sfruttare anche il primo. Gli autori delle minacce potrebbero utilizzare attacchi di phishing per sfruttare questi difetti.