Egy hibás konfigurációkat és gyenge biztonsági ellenőrzéseket kihasználó támadási lánc egy közös Azure-szolgáltatásban rávilágít arra, hogy a láthatóság hiánya milyen hatással van a felhőplatformok biztonságára.
Az „EmojiDeploy” támadási lánc lehetővé teheti a fenyegetések számára, hogy a webszerver engedélyével tetszőleges kódot futtatjanak, bizalmas adatokat lopjanak el vagy töröljenek, és feltörjenek egy megcélzott alkalmazást – állítja az Ermetic közleményében. január 19-i tanácsadó. Az Ermetic szerint a támadó a közös forráskód-kezelési (SCM) szolgáltatást – a sok Azure-alkalmazás által használt felhőalapú szolgáltatást – érintő biztonsági problémák hármasát használhatja, anélkül, hogy a felhasználónak kifejezetten jelezné.
A problémák azt mutatják, hogy a felhőplatformok biztonságát aláássa az, hogy nem látható, hogy ezek a platformok mit csinálnak a motorháztető alatt – mondta Igal Gofman, az Ermetic kutatási vezetője.
„Az Azure és a felhőszolgáltatás fogyasztóinak – a vállalatoknak – ismerniük kell az egyes szolgáltatásokat és azok belső elemeit, és nem bízhatnak abban, hogy a felhőszolgáltatók által biztosított alapértelmezett beállítások mindig biztonságosak” – mondja. "Annak ellenére, hogy a felhőszolgáltatók dollármilliókat költenek felhő-infrastruktúra védelmére, előfordulhatnak hibás konfigurációk és biztonsági hibák."
A EmojiDeploy kutatás csatlakozik a biztonsági kutatók által nemrégiben felfedezett más támadási láncokhoz, amelyek adatszivárgásokat okozhattak a felhőplatformokon vagy más módon veszélyeztették a felhőszolgáltatásokat. 2022 októberében például a kutatók két sebezhetőséget talált az Atlassian Jira Align-jében, egy agilis projektmenedzsment alkalmazás, amely lehetővé tehette volna, hogy fenyegető csoportok támadják meg az Atlassian szolgáltatást. 2022 januárjában az Amazon kijavított két biztonsági problémát az Amazon Web Services (AWS) platformján, amelyek lehetővé tették volna a felhasználó számára átveheti az irányítást egy másik ügyfél felhő-infrastruktúrája felett.
A támadónak csak el kell fogadnia átlagosan három lépés Egy elemzés megállapította, hogy – az esetek 78%-ában gyakran egy sebezhetőséggel kezdődik –, hogy kompromittálja a felhőszolgáltatásokkal kapcsolatos érzékeny adatokat.
„A felhőrendszerek rendkívül összetettek” – mondta Ermetic. „A rendszer és a környezet összetettségének megértése, amelyben dolgozik, kulcsfontosságú a megvédéséhez.”
Source Code Manager Exploit
Az Ermetic által talált támadás a Source Code Manager (SCM) meghatározott cookie-konfigurációjának bizonytalanságát használta fel. Az Ermetic tanácsa szerint az Azure-szolgáltatás két vezérlőelemet – a helyek közötti parancsfájlkezelés (XSS) és a helyek közötti kérés-hamisítás (XSRF) megakadályozását – alapértelmezett „Lax” értékre állította be.
A beállítások következményeinek további vizsgálata után az Ermetic kutatói azt találták, hogy a három általános Azure-szolgáltatás – az Azure App Service, az Azure Functions és az Azure Logic Apps – bármelyikét használó személyeket megtámadhatja a biztonsági rés. A támadás azért vált lehetségessé, mert ez a három fő szolgáltatás mind a Forráskód-kezelés (SCM) panelt használja, hogy lehetővé tegye a fejlesztői és webes csapatok számára az Azure-alkalmazások kezelését. Mivel az SCM a nyílt forráskódú Kudu adattárkezelési projektre támaszkodik, amely a Githez hasonló .NET-keretrendszer, a nyílt forráskódú projektben lévő, több telephelyre kiterjedő parancsfájl-kezelési sebezhetőség az Azure SCM-et is érinti.
Sajnos a biztonsági beállítás nem egyértelmű – jelentette ki Ermetic, hozzátéve, hogy sok Az Azure Web Services ügyfelei nem is tudna a létezéséről SCM panel.
Egyetlen sebezhetőség azonban nem elég. A kutatók a laza cookie-biztonságot egy speciálisan kialakított URL-lel párosították, amely megkerüli a felhőszolgáltatás azon ellenőrzését, hogy a webhely minden összetevője ugyanabból az eredetből származik. A két komponens kombinálása lehetővé teszi a teljes, több eredetű támadást – közölte az Ermetic közleményében. Egy harmadik gyengeség lehetővé tette, hogy konkrét akciókat vagy hasznos terheket is beépítsenek a támadásba.
A megosztott felelősség a konfiguráció átláthatóságát jelenti
A támadási lánc kiemeli, hogy a felhőszolgáltatóknak átláthatóbbá kell tenniük biztonsági ellenőrzéseiket, és alapértelmezés szerint biztonságosabb konfigurációkat kell alkalmazniuk, mondja az Ermetic Gofman. Míg a megosztott felelősség régóta a felhőbiztonság mantrája, a felhőalapú infrastruktúra-szolgáltatások nem mindig kínálnak könnyű hozzáférést vagy integrációt a biztonsági ellenőrzésekhez.
„Fontos az alapértelmezett szolgáltatásbeállítások és konfigurációk ismerete, mivel a felhő megosztott felelősségi modellt használ a szolgáltató és az ügyfél közötti biztonság érdekében” – mondja. „Nagyon fontos a legkisebb kiváltság elvének alkalmazása és a megosztott felelősség modelljének ismerete.”
Az Emetic októberben értesítette a Microsoftot a támadási láncról, a szállító pedig december elejére globális javítást adott ki az Azure-ra a tanácsadó szerint.
„A sérülékenységnek a szervezet egészére gyakorolt hatása az alkalmazások által kezelt identitás jogosultságaitól függ” – áll az Ermetic közleményében. "A legkisebb kiváltság elvének hatékony alkalmazása jelentősen korlátozhatja a robbanás sugarát."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud/emojideploy-attack-chain-targets-misconfigured-azure-service
- 2022
- 7
- a
- hozzáférés
- Szerint
- cselekvések
- tanácsadó
- érintő
- agilis
- Minden termék
- lehetővé teszi, hogy
- mindig
- amazon
- Az Amazon Web Services
- Amazon Web Services (AWS)
- elemzés
- és a
- Másik
- app
- Alkalmazás
- alkalmazások
- Alkalmazása
- alkalmazások
- támadás
- átlagos
- tudatosság
- AWS
- Égszínkék
- mert
- hogy
- között
- megsértésének
- bogarak
- esetek
- lánc
- láncok
- ellenőrizze
- felhő
- felhő infrastruktúra
- Cloud Security
- felhő szolgáltatások
- kód
- kombinálása
- Közös
- bonyolult
- bonyolultság
- összetevő
- alkatrészek
- kompromisszum
- Veszélyeztetett
- Configuration
- Fogyasztók
- ellenőrzés
- ellenőrzések
- tudott
- kritikus
- vevő
- Ügyfelek
- dátum
- Adatok megsértése
- december
- alapértelmezett
- Védekezés
- bizonyítani
- függ
- Fejlesztés
- felfedezett
- dollár
- minden
- Korai
- hatékonyan
- elég
- Vállalatok
- Környezet
- Még
- példa
- ismerős
- Rögzít
- rögzített
- talált
- Keretrendszer
- ból ből
- Tele
- funkciók
- további
- megy
- Globális
- Csoportok
- történik
- fej
- kiemelve
- nagyon
- motorháztető
- Hogyan
- azonban
- HTTPS
- Identitás
- Hatás
- Hatások
- következményei
- fontos
- in
- Bejegyzett
- jelzés
- Infrastruktúra
- integráció
- Kiadott
- kérdések
- IT
- január
- csatlakozik
- Ismer
- hiány
- LIMIT
- Hosszú
- készült
- fontos
- csinál
- kezelése
- sikerült
- vezetés
- menedzser
- Mantra
- sok
- eszközök
- microsoft
- Több millió
- modell
- több
- Szükség
- igények
- háló
- Nyilvánvaló
- október
- felajánlott
- ONE
- nyitva
- nyílt forráskódú
- szervezet
- Más
- másképp
- párosított
- panel
- engedély
- engedélyek
- emelvény
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- lehetséges
- Megelőzés
- alapelv
- program
- projekt menedzsment
- feltéve,
- ellátó
- szolgáltatók
- nemrég
- raktár
- kérni
- kutatás
- kutatók
- felelősség
- futás
- azonos
- biztonság
- biztosítása
- biztonság
- érzékeny
- szolgáltatás
- Szolgáltatások
- készlet
- beállítás
- beállítások
- megosztott
- jelentősen
- hasonló
- óta
- egyetlen
- forrás
- forráskód
- különösen
- különleges
- költ
- Kezdve
- meghatározott
- rendszer
- Systems
- Vesz
- célzott
- célok
- csapat
- A
- The Source
- azok
- Harmadik
- fenyegetés
- három
- Keresztül
- nak nek
- átlátszó
- Bízzon
- alatt
- megértés
- URL
- használ
- használó
- eladó
- láthatóság
- sérülékenységek
- sebezhetőség
- gyengeség
- háló
- webszerver
- webes szolgáltatások
- weboldal
- Mit
- ami
- míg
- WHO
- lesz
- nélkül
- dolgozó
- XSS
- te
- zephyrnet
