EmojiDeploy Attack Chain prende di mira il servizio di Azure configurato in modo errato

Una catena di attacchi che sfrutta configurazioni errate e controlli di sicurezza deboli in un servizio Azure comune sta evidenziando come la mancanza di visibilità influisca sulla sicurezza delle piattaforme cloud.

La catena di attacco "EmojiDeploy" potrebbe consentire a un malintenzionato di eseguire codice arbitrario con l'autorizzazione del server Web, rubare o eliminare dati sensibili e compromettere un'applicazione mirata, ha affermato Ermetic nel suo Avviso dell'19 gennaio. Un utente malintenzionato potrebbe utilizzare un trio di problemi di sicurezza che interessano il comune servizio di gestione del codice sorgente (SCM), un servizio cloud utilizzato da molte applicazioni Azure senza un'indicazione esplicita per l'utente, secondo Ermetic.

I problemi dimostrano che la sicurezza delle piattaforme cloud è minata dalla mancanza di visibilità su ciò che tali piattaforme fanno sotto il cofano, afferma Igal Gofman, capo della ricerca per Ermetic.

"I consumatori di servizi Azure e cloud - le aziende - devono avere familiarità con ogni servizio e i suoi componenti interni e non fidarsi [del fatto che le] impostazioni predefinite fornite dai fornitori di servizi cloud siano sempre sicure", afferma. "Anche se i fornitori di servizi cloud spendono milioni di dollari per proteggere la loro infrastruttura cloud, si verificheranno configurazioni errate e bug di sicurezza".

Il Ricerca EmojiDeploy si unisce ad altre catene di attacchi scoperte di recente dai ricercatori di sicurezza che potrebbero aver provocato violazioni dei dati su piattaforme cloud o servizi cloud altrimenti compromessi. Nell'ottobre 2022, ad esempio, i ricercatori ha trovato due vulnerabilità in Jira Align di Atlassian, un'applicazione agile per la gestione dei progetti, che avrebbe potuto consentire ai gruppi di minacce di attaccare il servizio Atlassian. Nel gennaio 2022, Amazon ha risolto due problemi di sicurezza nella sua piattaforma Amazon Web Services (AWS) che avrebbero potuto consentire a un utente di assumere il controllo dell'infrastruttura cloud di un altro cliente.

Un attaccante deve solo prendere una media di tre passi - spesso iniziando, nel 78% dei casi, con una vulnerabilità - per compromettere i dati sensibili sui servizi cloud, secondo un'analisi.

"I sistemi cloud sono molto complessi", ha affermato Ermetic. "Comprendere la complessità del sistema e dell'ambiente in cui si lavora è fondamentale per difenderlo".

Exploit del gestore del codice sorgente

L'attacco rilevato da Ermetic si è avvalso dell'insicurezza di una specifica configurazione di cookie per il Source Code Manager (SCM). Il servizio Azure ha impostato due controlli, prevenzione cross-site scripting (XSS) e prevenzione cross-site request forgery (XSRF), su un valore predefinito di "Lax", secondo l'advisory di Ermetic.

Dopo aver esaminato ulteriormente le implicazioni di tali impostazioni, i ricercatori di Ermetic hanno scoperto che coloro che utilizzano uno dei tre servizi Azure comuni, Servizio app di Azure, Funzioni di Azure e App per la logica di Azure, potrebbero essere attaccati dalla vulnerabilità. L'attacco è stato reso possibile perché questi tre servizi principali utilizzano tutti il ​​pannello SCM (Source Code Management) per consentire ai team di sviluppo e Web di gestire la propria applicazione Azure. Poiché SCM si basa sul progetto di gestione del repository Kudu open source, che è un framework .NET simile a Git, una vulnerabilità di scripting tra siti nel progetto open source influisce anche su Azure SCM.

Sfortunatamente, l'impostazione di sicurezza non è ovvia, ha affermato Ermetic, aggiungendo che molti Clienti di Servizi Web di Azure non saprebbe nemmeno dell'esistenza del Pannello SCM.

Tuttavia, una singola vulnerabilità non è sufficiente. I ricercatori hanno accoppiato la lassista sicurezza dei cookie con un URL appositamente predisposto che aggira il controllo del servizio cloud che ogni componente del sito web provenga dalla stessa origine. La combinazione dei due componenti consente un attacco multiorigine completo, ha affermato Ermetic nel suo avviso. Una terza debolezza ha consentito di incorporare nell'attacco anche azioni o carichi utili specifici.

Responsabilità condivisa significa trasparenza della configurazione

La catena di attacco sottolinea che i fornitori di servizi cloud devono rendere i loro controlli di sicurezza più trasparenti e predefiniti per configurazioni più sicure, afferma Gofman di Ermetic. Sebbene la responsabilità condivisa sia stata a lungo il mantra della sicurezza cloud, i servizi di infrastruttura cloud non hanno sempre offerto un facile accesso o integrazione ai controlli di sicurezza.

"La consapevolezza delle impostazioni e delle configurazioni predefinite del servizio è importante poiché il cloud utilizza un modello di responsabilità condivisa per la sicurezza tra il fornitore e il cliente", afferma. "Applicare il principio del privilegio minimo ed essere consapevoli del modello di responsabilità condivisa è molto importante".

Emetic ha notificato a Microsoft la catena di attacco in ottobre e il fornitore ha emesso una correzione globale per Azure all'inizio di dicembre, secondo l'avviso.

"L'impatto della vulnerabilità sull'organizzazione nel suo insieme dipende dalle autorizzazioni dell'identità gestita dalle applicazioni", ha affermato Ermetic nel suo advisory. "L'applicazione efficace del principio del privilegio minimo può limitare in modo significativo il raggio dell'esplosione".

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.darkreading.com/cloud/emojideploy-attack-chain-targets-misconfigured-azure-service