Duas falhas de segurança no Azure App Services da Microsoft podem ter permitido que usuários mal intencionados fizessem ataques de falsificação de solicitação do lado do servidor (SSRF ou server side request forgery) ou executassem código arbitrário e assumissem o servidor de administração.
“Isso permite que um invasor controle silenciosamente o servidor git do Serviço de Aplicativo ou implante páginas de phishing maliciosas acessíveis através do Portal do Azure para administradores de sistema”, informou a empresa de segurança cibernética Intezer em relatório publicado na última quinta-feira dia 8. As falhas foram descobertas em junho pelo pesquisador Paul Litvak, do Intezer Labs, e relatadas em seguira à Microsoft, que posteriormente as corrigiu.
Veja isso
Desktop as a Service para Azure, em desenvolvimento na Microsoft
Azure Sphere em fase comercial: Microsoft entra forte em IoT
O Azure App Services é uma plataforma da nuvem usada como serviço de hospedagem web para criar aplicativos da web e back-ends móveis, explica o relatório. A Intezer pdozudiu um vídeo com a prova de conceito que demonstra as falhas (veja acima). O relatório informa: “Quando um Serviço de Aplicativo é criado por meio do Azure, um novo ambiente Docker é criado com dois nós de contêiner – um nó de gerenciador e o nó de aplicativo – juntamente com o registro de dois domínios que apontam para o servidor HTTP do aplicativo e para a página de administração do serviço de aplicativo – que por sua vez aproveita o serviço Kudu para a implantação contínua do aplicativo de provedores de controle de versões de código fonte, como GitHub ou Bitbucket”.
Da mesma forma, continua o relatório, as implantações do Azure em ambientes Linux são gerenciadas por um serviço chamado KuduLite, que oferece informações de diagnóstico sobre o sistema e consiste em uma interface da web para SSH no nó do aplicativo (chamado “webssh”): “A primeira vulnerabilidade é uma falha de escalonamento de privilégios que permite assumir o controle do KuduLite, por meio de credenciais embutidas em código (“root: Docker!”). Isso permite usar o SSH na instância e fazer login como root, permitindo assim a um invasor controle completo o servidor da web SCM (também conhecido como Gerenciamento de configuração de software).
De acordo com os pesquisadores, isso pode permitir que um adversário “escute as solicitações HTTP de um usuário para a página da web do SCM, adicionar suas próprias páginas e injetar Javascript malicioso na página do usuário”. A segunda vulnerabilidade de segurança diz respeito à maneira como o nó do aplicativo envia solicitações à API do KuduLite, permitindo que um aplicativo da web com vulnerabilidade SSRF acesse o sistema de arquivos do nó e roube o código-fonte e outros ativos confidenciais.
Com agências internacionais
