Rünnakett, mis kasutab ühise Azure'i teenuse valesid konfiguratsioone ja nõrku turvakontrolle, toob esile, kuidas nähtavuse puudumine mõjutab pilveplatvormide turvalisust.
Rünnakett EmojiDeploy võib lubada ohus osalejal veebiserveri loal käivitada suvalist koodi, varastada või kustutada tundlikke andmeid ning ohustada sihitud rakendust, teatas Ermetic oma teates. 19. jaanuar nõuandev. Ermeticu sõnul võib ründaja kasutada kolme turbeprobleemi, mis mõjutavad tavalist lähtekoodihalduse (SCM) teenust – pilveteenust, mida kasutavad paljud Azure'i rakendused ilma kasutajale selgesõnalise viiteta.
Probleemid näitavad, et pilveplatvormide turvalisust kahjustab nähtavuse puudumine selle kohta, mida need platvormid kapoti all teevad, ütleb Ermeticu uuringute juht Igal Gofman.
„Azure'i ja pilveteenuste tarbijad – ettevõtted – peavad olema kursis iga teenuse ja selle sisemustega ning mitte usaldama [et] pilveteenuse pakkujate pakutavad vaikeseaded on alati turvalised,” ütleb ta. "Kuigi pilveteenuse pakkujad kulutavad oma pilveinfrastruktuuri turvamisele miljoneid dollareid, juhtub valekonfiguratsioone ja turvavigu."
. EmojiDeploy uuring ühineb teiste turvauurijate poolt hiljuti avastatud ründeahelatega, mis võisid põhjustada pilveplatvormidel andmetega seotud rikkumisi või muul viisil ohustada pilveteenuseid. 2022. aasta oktoobris näiteks teadlased leidis Atlassiani Jira Alignis kaks turvaauku, vilgas projektihaldusrakendus, mis oleks võinud lubada ohurühmadel Atlassiani teenust rünnata. 2022. aasta jaanuaris parandas Amazon oma Amazon Web Servicesi (AWS) platvormil kaks turbeprobleemi, mis oleks võinud võimaldada kasutajal võtta kontrolli teise kliendi pilvetaristu üle.
Ründaja peab ainult võtma keskmiselt kolm sammu Ühes analüüsis leiti, et sageli algab see 78% juhtudest haavatavusega, et ohustada pilveteenuste tundlikke andmeid.
"Pilvesüsteemid on väga keerulised, " ütles Ermetic. "Süsteemi ja töökeskkonna keerukuse mõistmine on selle kaitsmiseks ülioluline."
Lähtekoodihalduri ärakasutamine
Ermeticu leitud rünnak kasutas lähtekoodihalduri (SCM) konkreetse küpsisekonfiguratsiooni ebaturvalisust. Azure'i teenus seadis Ermeticu nõuannete kohaselt kaks juhtelementi – saidiülese skriptimise (XSS) ja saidiülese päringu võltsimise (XSRF) vältimise – vaikeväärtusele „Lax”.
Pärast nende sätete mõju täiendavat uurimist leidsid Ermeticu teadlased, et haavatavuse kaudu võidakse rünnata neid, kes kasutavad mõnda kolmest tavalisest Azure'i teenusest – Azure App Service, Azure Functions ja Azure Logic Apps. Rünnak sai võimalikuks, kuna need kolm peamist teenust kasutavad kõik lähtekoodihalduse (SCM) paneeli, et võimaldada arendus- ja veebimeeskondadel oma Azure'i rakendust hallata. Kuna SCM tugineb avatud lähtekoodiga Kudu hoidla haldusprojektile, mis on Gitiga sarnane .NET-i raamistik, mõjutab avatud lähtekoodiga projekti saidiülene skriptimise haavatavus ka Azure SCM-i.
Kahjuks pole turvaseade ilmselge, nentis Ermetic ja lisas, et paljud Azure Web Services kliendid isegi ei teaks selle olemasolust SCM paneel.
Ühest haavatavusest siiski ei piisa. Teadlased sidusid lõdva küpsiste turvalisuse spetsiaalselt loodud URL-iga, mis möödub pilveteenuse kontrollist, et veebisaidi kõik komponendid pärinevad samast päritolust. Kahe komponendi kombineerimine võimaldab täielikku ristpäritolu rünnakut, teatas Ermetic oma nõuandes. Kolmas nõrkus võimaldas rünnakusse kaasata ka konkreetseid tegevusi või kasulikke koormusi.
Jagatud vastutus tähendab konfiguratsiooni läbipaistvust
Rünnakuahel rõhutab, et pilveteenuse pakkujad peavad muutma oma turvakontrollid läbipaistvamaks ja muutma vaikimisi turvalisemateks konfiguratsioonideks, ütleb Ermetic Gofman. Kuigi jagatud vastutus on pikka aega olnud pilveturbe mantra, ei ole pilveinfrastruktuuri teenused alati pakkunud lihtsat juurdepääsu või integreerimist turvakontrollile.
„Teenuse vaikesätete ja konfiguratsioonide tundmine on oluline, kuna pilv kasutab turvalisuse tagamiseks teenusepakkuja ja kliendi vahel jagatud vastutuse mudelit,“ ütleb ta. "Väga oluline on vähimate privileegide põhimõtte rakendamine ja jagatud vastutuse mudeli teadvustamine."
Emetic teavitas Microsofti rünnakuahelast oktoobris ja müüja andis nõuande kohaselt detsembri alguseks Azure'i jaoks globaalse paranduse.
"Haavatavuse mõju organisatsioonile tervikuna sõltub rakenduste hallatavate identiteedi lubadest," märkis Ermetic oma nõuandes. "Vähiimate privileegide põhimõtte efektiivne rakendamine võib plahvatuse raadiust märkimisväärselt piirata."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cloud/emojideploy-attack-chain-targets-misconfigured-azure-service
- 2022
- 7
- a
- juurdepääs
- Vastavalt
- meetmete
- nõuandev
- mõjutades
- väle
- Materjal: BPA ja flataatide vaba plastik
- võimaldab
- alati
- Amazon
- Amazon Web Services
- Amazon Web Services (AWS)
- analüüs
- ja
- Teine
- app
- taotlus
- rakendused
- Rakendades
- apps
- rünnak
- keskmine
- teadlikkus
- AWS
- Taevasina
- sest
- on
- vahel
- rikkumisi
- vead
- juhtudel
- kett
- ketid
- kontrollima
- Cloud
- pilve infrastruktuur
- Cloud Security
- pilvteenustest
- kood
- kombineerimine
- ühine
- keeruline
- keerukus
- komponent
- komponendid
- kompromiss
- Kompromissitud
- konfiguratsioon
- Tarbijad
- kontrollida
- kontrolli
- võiks
- otsustav
- klient
- Kliendid
- andmed
- Andmete rikkumine
- Detsember
- vaikimisi
- Kaitstes
- näitama
- sõltub
- & Tarkvaraarendus
- avastasin
- dollarit
- iga
- Varajane
- tõhusalt
- piisavalt
- ettevõtete
- keskkond
- Isegi
- näide
- tuttav
- Määrama
- fikseeritud
- avastatud
- Raamistik
- Alates
- täis
- funktsioonid
- edasi
- Git
- Globaalne
- Grupi omad
- juhtuda
- juhataja
- esiletõstmine
- kõrgelt
- kapuuts
- Kuidas
- aga
- HTTPS
- Identity
- mõju
- Mõjud
- mõjud
- oluline
- in
- Inkorporeeritud
- näidustus
- Infrastruktuur
- integratsioon
- Välja antud
- küsimustes
- IT
- Jaanuar
- Liita
- Teadma
- puudus
- LIMIT
- Pikk
- tehtud
- peamine
- tegema
- juhtima
- juhitud
- juhtimine
- juht
- Mantra
- palju
- vahendid
- Microsoft
- miljonid
- mudel
- rohkem
- Vajadus
- vajadustele
- neto
- Ilmne
- oktoober
- pakutud
- ONE
- avatud
- avatud lähtekoodiga
- organisatsioon
- Muu
- muidu
- paaristatud
- paneel
- luba
- Õigused
- inimesele
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- võimalik
- Ennetamine
- põhimõte
- projekt
- projektihaldus
- tingimusel
- tarnija
- pakkujad
- hiljuti
- Hoidla
- taotleda
- teadustöö
- Teadlased
- vastutus
- jooks
- sama
- kindlustama
- kindlustada
- turvalisus
- tundlik
- teenus
- Teenused
- komplekt
- kehtestamine
- seaded
- jagatud
- märgatavalt
- sarnane
- alates
- ühekordne
- allikas
- lähtekoodi
- spetsiaalselt
- konkreetse
- kulutama
- Käivitus
- väljendatud
- süsteem
- süsteemid
- Võtma
- suunatud
- eesmärgid
- meeskonnad
- .
- Allikas
- oma
- Kolmas
- oht
- kolm
- Läbi
- et
- läbipaistev
- Usalda
- all
- mõistmine
- URL
- kasutama
- Kasutaja
- müüja
- nähtavus
- Haavatavused
- haavatavus
- nõrkus
- web
- veebiserver
- veebiteenused
- veebisait
- M
- mis
- kuigi
- WHO
- will
- ilma
- töö
- XSS
- sa
- sephyrnet
