• 發布單位:TWCERT/CC
  • 更新日期:2020-10-12
  • 點閱次數:80

Microsoft Azure 遭發現漏洞,駭侵者可能接管用戶伺服器 TWCERT/CC

資安廠商 Intezer 日前發布資安研究報告,指出該公司的研究人員發現 Microsoft Azure 雲端服務存有兩個漏洞,可導致駭侵者遠端執行任意程式碼,並接管用戶的伺服器。

發生問題的是 Microsoft Azure 的 App Services,可供客戶託管各種 web 服務;研究者發現在 App Services 中的 Linux 主機存有兩個資安漏洞,可供駭侵者進行伺服器端請求偽造(Server-side Request Forge,SSRF)攻擊,以及遠端執行任意程式碼,導致用戶的主機權限遭駭侵者取得。

研究人員指出,第一個 SSRF 漏洞發生在 Azure App Services 使用的開源套件 KuduLite,這個套件是讓註冊戶用管理其 App Service 方案;研究人員發現 KuduLite 的程式碼將 SSH 安全連線使用的密碼硬寫(hard-coded)在其程式碼中,可因此取得 root 登入身分。

第二個漏洞發生在 KuduLite 的 API,應用程式節點可以在未經存取權限驗證的情況下,向 KuduLite 發送存取要求;攻擊者可以利用這個漏洞來存取應用程式節點的檔案系統,甚至可以竊得該節點儲存的應用程式原始碼與其他資源。

Intezer 是在三個月前發現這兩個漏洞,隨即向 Microsoft 提報;而 Microsoft 很快就修復了這兩個漏洞,因此這兩個漏洞沒有 CVE 編號。


  • 影響產品/版本:Microsoft Azure App Services



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884