Microsoft corrige três bugs no gerenciamento de API do Azure

Vulnerabilidades incluem desvios de formatação de URL e uma funcionalidade irrestrita de upload de arquivo no portal do desenvolvedor de gerenciamento de API
Da Redação
08/05/2023

A Microsoft corrigiu três novas vulnerabilidades no serviço de gerenciamento de API do Azure, que inclui duas vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF) e um path traversal (também conhecido como directory traversal) de upload de arquivo em um workload interno do Azure, de acordo com a empresa de segurança cibernética Ermetic.

As vulnerabilidades foram alcançadas por meio de desvios de formatação de URL e uma funcionalidade irrestrita de upload de arquivo no portal do desenvolvedor de gerenciamento de API, disse Ermetic. A empresa de segurança cibernética identificou as vulnerabilidades em dezembro do ano passado e a Microsoft as corrigiu em janeiro.

O gerenciamento de API do Azure é uma plataforma como serviço (PaaS) projetada para permitir que as empresas desenvolvam e gerenciem APIs com segurança em ambientes de computação híbridos e multicloud.

“Ao explorar as vulnerabilidades do SSRF, os invasores podem enviar solicitações do proxy CORS [compartilhamento de recursos de origem cruzada] do serviço e do próprio proxy de hospedagem, acessar ativos internos do Azure, negar serviço e ignorar firewalls de aplicativos da web”, disse a Ermetic em um alerta, acrescentando que, por meio do path traversal de upload de arquivo, os invasores também podem fazer upload de arquivos maliciosos para workload interno hospedado no Azure e para portais de desenvolvedores auto-hospedados.

Vulnerabilidade do SSRF ignora a correção anterior

Das duas vulnerabilidades SSRF separadas que foram identificadas, uma afetou o proxy CORS de gerenciamento de API do Azure e a outra afetou o proxy de hospedagem de gerenciamento de API do Azure.

Inicialmente, acreditava-se que o proxy CORS de gerenciamento de API do Azure era uma duplicata de uma vulnerabilidade relatada anteriormente que foi corrigida pela Microsoft. No entanto, foi descoberto mais tarde que a vulnerabilidade ignora essa correção inicial. A Microsoft finalmente corrigiu a vulnerabilidade totalmente em janeiro.

As vulnerabilidades do SSRF afetaram os servidores centrais dos quais muitos usuários e organizações dependem para as operações diárias. “Usando-os, os invasores podem falsificar solicitações desses servidores legítimos, acessar serviços internos que podem conter informações confidenciais pertencentes a clientes do Azure e até impedir a disponibilidade dos servidores vulneráveis”, disse a Ermetic na pesquisa.

Veja isso
Patch Tuesday: Microsoft corrige falhas no Azure Site Recovery
Desenvolvedores do Azure são inundados com malwares 

O Azure não valida o tipo de arquivo e o caminho dos arquivos carregados no portal do desenvolvedor do Azure para o serviço de gerenciamento de API. “Usuários autenticados podem percorrer o caminho especificado ao fazer upload dos arquivos, fazer upload de arquivos maliciosos para o servidor do portal do desenvolvedor e possivelmente executar código nele usando sequestro de DLL, troca de configuração IISNode ou qualquer outro vetor de ataque relevante”, disse a Ermetic.

O portal do desenvolvedor também possui um recurso de hospedagem própria, indicando que a vulnerabilidade afeta não apenas o Azure, mas também os usuários finais que implantaram o próprio portal do desenvolvedor, de acordo com a Ermetic.

Vulnerabilidades recentemente identificadas no Azure

Recentemente, foram identificadas algumas outras vulnerabilidades críticas no Azure. No mês passado, foi identificada uma falha “projetada” no Azure que poderia ser explorada por invasores para obter acesso a contas de armazenamento, mover-se lateralmente em ambientes de computação e até mesmo executar código remoto, de acordo com pesquisa da empresa de segurança cibernética Orca.

Para evitar a exploração da falha, os pesquisadores aconselham que as organizações desativem a autorização da chave compartilhada do Azure e usem a autenticação do Azure Active Directory. As organizações também devem implementar o princípio do acesso com menos privilégios para que esse risco possa ser bastante reduzido, disse a Orca.

Em janeiro, a Ermetic identificou uma vulnerabilidade de execução remota de código que afeta serviços como aplicativos de função, serviço de aplicativo, aplicativos lógicos na nuvem Azure e outros serviços em nuvem. A vulnerabilidade, apelidada de EmojiDeploy, é obtida por meio da falsificação de endereços entre sites (CSRF) no serviço de gerenciamento de alterações de software (SCM) Kudu. Ao explorar a vulnerabilidade, os invasores podem implantar arquivos zip maliciosos contendo uma carga útil no aplicativo Azure da vítima.

Compartilhar:

Últimas Notícias