Microsoft Azure: 2 nouvelles failles ont été découvertes

Les chercheurs ont révélé 2 nouvelles failles dans App Services, le service d’application d’hébergement Web de Microsoft Azure. Si ces failles de sécurité sont exploitées, pourraient permettre à un attaquant de prendre le contrôle des serveurs administratifs.

Azure App Services est un service utilisant HTTP pour l’hébergement d’applications Web et est disponible à la fois dans le cloud Microsoft Azure et dans les installations sur site. Les chercheurs ont découvert deux vulnérabilités dans le service cloud qui affectent spécifiquement les serveurs Linux.

«Les deux vulnérabilités que nous avons trouvées peuvent être combiner et permettent à tout attaquant ayant la possibilité de forger des requêtes de publication (SSRF) ou d’exécuter du code [à distance] sur Azure App Service de prendre le contrôle du serveur d’administration Azure App Service», a déclaré Paul Litvak , chercheur chez Intezer, dans un communiqué.

Les deux failles ont été découvertes il y a trois mois et signalées à Microsoft. Microsoft a depuis déployé un correctif. Les vulnérabilités n’ont pas d’attributions CVE.

Les bugs de KuduLite dans Microsoft Azure

La première faille provient d’un projet open source appelé KuduLite dans Azure App Services. Ce projet Linux gère la page d’administration utilisée pour inscrire les administrateurs dans le App Service Plan (pour commencer à utiliser App Services, un utilisateur doit d’abord créer un App Service Plan).

microsoft azure

Après avoir découvert que le service SSH de l’instance KuduLite utilise des informations d’identification codées en dur “root: Docker!” pour accéder au nœud d’application, les chercheurs ont pu se connecter en tant que root.

“Pour rappel, les développeurs de l’App Service KuduLite ont veillé à ce que les administrateurs ne puissent s’y connecter qu’en tant qu’utilisateur à faible privilège, nous savions donc que c’était involontaire.”

Après avoir pris le contrôle de l’instance KuduLite, les chercheurs pourraient alors prendre le contrôle du serveur Web de gestion de la configuration logicielle (SCM), qui gère et contrôle systématiquement les modifications des documents et des codes au cours du cycle de vie du développement logiciel. Cela leur permettait ensuite d’écouter les requêtes HTTP d’un utilisateur sur la page Web SCM, d’ajouter leurs propres pages et d’injecter du Javascript malveillant dans la page Web de l’utilisateur.

«L’utilisateur peut également choisir de laisser App Services gérer le serveur git, auquel cas le serveur sera géré par KuduLite», ont déclaré les chercheurs. “L’attaquant pourrait alors ajouter du code malveillant au référentiel pour obtenir la persistance et se propager à d’autres instances en utilisant le même serveur git.”

microsoft azure

La deuxième faille se trouve dans l’API KuduLite. Le problème ici vient du fait que le nœud de l’application peut envoyer des requêtes à l’API KuduLite sans validation d’accès – une erreur qui est particulièrement problématique lorsque l’on considère une application Web avec une vulnérabilité SSRF, ont déclaré les chercheurs.

«Un attaquant qui parvient à forger une requête GET peut accéder au système de fichiers du nœud d’application via l’API KuduLite VFS», ont déclaré les chercheurs. «Cela permettrait à un attaquant de dérober facilement du code source et d’autres ressources sur le nœud d’application.»

Un attaquant qui parvient à forger une requête POST, quant à lui, peut réaliser une exécution de code à distance sur le nœud d’application via l’API de commande, ont-ils déclaré. Et, dans Windows (où Kudu est utilisé), les paquets envoyés du nœud d’application au nœud de gestionnaire sont supprimés.

Ces deux vulnérabilités peuvent être associées, puisqu’une fois qu’un attaquant réalise l’exécution de code avec la deuxième vulnérabilité, il peut alors exploiter la première. Le vecteur d’attaque potentiel ici est qu’un attaquant peut utiliser cette faille pour implanter une page d’hameçonnage dans ce qui est censé être la page Web SCM (comme le montre la vidéo ci-dessous).

Les chercheurs ont souligné que la sécurité du cloud d’Azure est encore relativement nouvelle, ce qui rend essentiel la recherche et la documentation de nouvelles surfaces d’attaque qui surviennent lors de l’utilisation de ces services.

«En tant que meilleure pratique générale, la sécurité du cloud à l’exécution est une dernière ligne de défense importante et l’une des premières actions que vous pouvez faire pour réduire les risques, car elle peut détecter les injections de code malveillant et autres menaces en mémoire qui se produisent après qu’une vulnérabilité a été exploité par un attaquant », ont-ils déclaré.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x