隨着企業愈來愈多地遷移到雲中,保護基礎架構變得史無前例的重要。git
近日,根據網絡安全組織東方聯盟的最新研究,Microsoft的Azure應用服務中的兩個安全漏洞可能使不良行爲者可以進行服務器端請求僞造(SSRF)攻擊或執行任意代碼並接管管理服務器。web
網絡安全公司在今天發佈並共享的一份報告中說:「這使攻擊者可以悄悄接管App Service的git服務器,或植入可經過Azure門戶訪問的惡意網絡釣魚頁面,以鎖定目標系統管理員。」後端
研究人員發現後,該漏洞已於6月份報告給Microsoft,以後公司對該漏洞進行了解決。安全
Azure App Service是基於雲計算的平臺,用做構建Web應用程序和移動後端的託管Web服務。服務器
經過Azure建立應用程序服務時,將建立一個新的Docker環境,其中包含兩個容器節點(管理器節點和應用程序節點),並註冊兩個指向應用程序的HTTP Web服務器和應用程序服務的管理頁面的域。轉槓桿捻用於持續部署從源控制供應商,如GitHub的或到位桶的應用程式。網絡
一樣,Linux環境上的Azure部署由稱爲KuduLite的服務管理,該服務提供有關係統的診斷信息,幷包含一個SSH到應用程序節點的Web界面(稱爲「 webssh 」)。架構
第一個漏洞是特權升級漏洞,它容許經過硬編碼憑據(「 root:Docker!」)接管KuduLite,從而能夠經過SSH進入實例並以root用戶身份登陸,從而使攻擊者能夠徹底控制SCM(又名軟件配置管理)Web服務器。ssh
研究人員認爲,這可使對手「偵聽用戶對SCM網頁的HTTP請求,添加咱們本身的頁面,並將惡意Javascript注入用戶的網頁」。編碼
第二個安全漏洞涉及應用程序節點將請求發送到KuduLite API的方式,這可能容許具備SSRF漏洞的Web應用程序訪問節點的文件系統並竊取源代碼和其餘敏感資產。雲計算
研究人員說:''設法僞造POST請求的攻擊者能夠經過命令API在應用程序節點上實現遠程代碼執行。''
並且,成功利用第二個漏洞意味着攻擊者能夠將兩個問題聯繫在一塊兒,以利用SSRF漏洞並提高他們的特權來接管KuduLite Web服務器實例。
就其自己而言,Microsoft一直在努力改善雲和物聯網(IoT)空間中的安全性。在今年早些時候提供其以安全性爲重點的物聯網平臺Azure Sphere以後,它還向研究人員開放了該服務,使其可以進入該服務,以「在黑客面前肯定高影響力漏洞」。
知名白帽黑客、東方聯盟創始人郭盛華表示:「雲使開發人員可以快速,靈活地構建和部署應用程序,可是,基礎架構常常容易受到其控制以外的漏洞的影響。對於App Services,應用程序與其餘管理容器共同託管,而且其餘組件可能帶來其餘威脅。做爲通常的最佳實踐,運行時雲安全性是重要的最後一道防線,也是能夠下降風險的第一批措施之一,由於它能夠檢測到惡意軟件注入和漏洞發生後發生的其餘內存中威脅,被攻擊者利用。」 (歡迎轉載分享)