A medida que las empresas migran cada vez más a la nube, proteger la infraestructura nunca ha sido más importante.
Ahora, según las últimas investigaciones, dos fallas de seguridad en los servicios de aplicaciones Azure de Microsoft podrían haber permitido a un mal actor llevar a cabo ataques de falsificación de solicitudes del lado del servidor ( SSRF ) o ejecutar código arbitrario y hacerse cargo del servidor de administración.
«Esto permite que un atacante se apodere silenciosamente del servidor git del App Service o implante páginas de phishing maliciosas accesibles a través del Portal de Azure para los administradores del sistema de destino», dijo la firma de ciberseguridad Intezer en un informe publicado hoy y compartido con The Hacker News.
Descubiertas por Paul Litvak de Intezer Labs, las fallas fueron informadas a Microsoft en junio, después de lo cual la compañía las abordó posteriormente.
Azure App Service es una plataforma basada en computación en la nube que se usa como un servicio web de hospedaje para crear aplicaciones web y backends móviles.
Cuando se crea un servicio de aplicaciones a través de Azure, se crea un nuevo entorno de Docker con dos nodos de contenedor, un nodo de administrador y el nodo de aplicación, junto con el registro de dos dominios que apuntan al servidor web HTTP de la aplicación y a la página de administración del servicio de la aplicación, que en turn aprovecha Kudu para la implementación continua de la aplicación de proveedores de control de código fuente como GitHub o Bitbucket.
Asimismo, las implementaciones de Azure en entornos Linux son administradas por un servicio llamado KuduLite , que ofrece información de diagnóstico sobre el sistema y consiste en una interfaz web para SSH en el nodo de la aplicación (llamado » webssh «).
La primera vulnerabilidad es una falla de escalada de privilegios que permite la toma de control de KuduLite a través de credenciales codificadas («root: Docker!») Que hace posible SSH en la instancia e iniciar sesión como root, lo que permite al atacante tener un control completo sobre el servidor web SCM (también conocido como Software Configuration Management).
Según los investigadores, esto podría permitir que un adversario «escuche las solicitudes HTTP de un usuario a la página web de SCM, agregue nuestras propias páginas e inyecte Javascript malicioso en la página web del usuario».
La segunda vulnerabilidad de seguridad se refiere a la forma en que el nodo de la aplicación envía solicitudes a la API de KuduLite, lo que potencialmente permite que una aplicación web con una vulnerabilidad SSRF acceda al sistema de archivos del nodo y robe el código fuente y otros activos sensibles.
«Un atacante que logra falsificar una solicitud POST puede lograr la ejecución remota de código en el nodo de la aplicación a través de la API de comando», dijeron los investigadores.
Además, la explotación exitosa de la segunda vulnerabilidad implica que el atacante puede encadenar los dos problemas para aprovechar la falla SSRF y elevar sus privilegios para hacerse cargo de la instancia del servidor web KuduLite.
Por su parte, Microsoft ha estado trabajando constantemente para mejorar la seguridad en la nube y el espacio de Internet de las cosas (IoT). Después de poner a disposición su plataforma de IoT centrada en la seguridad Azure Sphere a principios de este año, también la ha abierto para que los investigadores ingresen al servicio con el objetivo de «identificar vulnerabilidades de alto impacto antes que los piratas informáticos».
«La nube permite a los desarrolladores construir e implementar sus aplicaciones a gran velocidad y flexibilidad, sin embargo, a menudo la infraestructura es susceptible a vulnerabilidades fuera de su control», dijo Intezer. «En el caso de App Services, las aplicaciones se alojan conjuntamente con un contenedor de administración adicional y los componentes […] adicionales pueden traer amenazas adicionales».
«Como práctica recomendada general, la seguridad en la nube en tiempo de ejecución es una última línea de defensa importante y una de las primeras acciones que puede tomar para reducir el riesgo, ya que puede detectar inyecciones de código malicioso y otras amenazas en la memoria que tienen lugar después de que se ha detectado una vulnerabilidad. explotado por un atacante «.
