WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi trong Microsoft Azure SFX cho phép chiếm đoạt các Service Fabric cluster
Tin tặc có thể khai thác lỗ hổng spoofing hiện đã được vá trong Service Fabric Explorer để giành quyền quản trị viên và chiếm đoạt các Azure Service Fabric cluster (cụm).
Service Fabric là một nền tảng dành cho các ứng dụng quan trọng cho doanh nghiệp, lưu trữ hơn 1 triệu ứng dụng và được sử dụng trong nhiều sản phẩm của Microsoft, bao gồm nhưng không giới hạn ở Microsoft Intune, Dynamics 365, Skype for Business, Cortana, Microsoft Power BI và nhiều dịch vụ Azure cốt lõi.
Service Fabric Explorer (SFX) là một công cụ mã nguồn mở có thể được sử dụng như một giải pháp lưu trữ trên máy chủ hoặc như một ứng dụng desktop, cho phép quản trị viên Azure quản lý và kiểm tra các nút và ứng dụng cloud trong các Azure Service Fabric cluster.
SFX được phát hiện tồn tại một lỗ hổng giả mạo (CVE-2022-35829) có tên FabriXss, có thể cho phép kẻ tấn công giành quyền quản trị viên và chiếm lấy các cụm Service Fabric. Lỗi bắt nguồn từ việc người dùng Deployer với quyền duy nhất là 'Tạo ứng dụng mới' qua trang tổng quan có thể sử dụng quyền này để tạo tên ứng dụng độc hại và lạm dụng quyền Quản trị viên để thực hiện các lệnh gọi và các thao tác khác nhau, gồm thiết lập lại Cluster Node (Nút cụm). Thao tác này sẽ xóa tất cả các cài đặt tùy chỉnh như mật khẩu và cấu hình bảo mật, cho phép kẻ tấn công tạo mật khẩu mới và có được đầy đủ quyền của Quản trị viên.
Chưa có mã khai thác trong thực tế
Lỗ hổng được báo cho Microsoft vào ngày 11 tháng 8 và được giải quyết trong bản vá thứ Ba của tháng này vào ngày 11 tháng 10.
Theo Microsoft, việc khai thác FabriXss chỉ có thể được sử dụng trong các cuộc tấn công nhắm vào các phiên bản cũ hơn, không được hỗ trợ của Service Fabric Explorer (SFXv1). Ứng dụng web SFX mặc định hiện tại (SFXv2) không bị ảnh hưởng.
Tuy nhiên, việc khách hàng chuyển đổi thủ công từ SFXv2 sang SFXv1 là hoàn toàn có khả năng.
Để khai thác, kẻ tấn công cần có đặc quyền triển khai và thực thi mã trong cụm Service Fabric và mục tiêu phải sử dụng SFXv1.
Dù chưa có dấu hiệu cho thấy lỗ hổng đang bị khai thác trong thực tế, tất cả khách hàng của Service Fabric được khuyến cáo nâng cấp lên phiên bản SFX mới nhất và không chuyển sang sử dụng SFXv1.
Theo Microsoft, bản phát hành Service Fabric sắp tới sẽ loại bỏ SFXv1 và tùy chọn chuyển sang SFXv1.
Service Fabric là một nền tảng dành cho các ứng dụng quan trọng cho doanh nghiệp, lưu trữ hơn 1 triệu ứng dụng và được sử dụng trong nhiều sản phẩm của Microsoft, bao gồm nhưng không giới hạn ở Microsoft Intune, Dynamics 365, Skype for Business, Cortana, Microsoft Power BI và nhiều dịch vụ Azure cốt lõi.
Service Fabric Explorer (SFX) là một công cụ mã nguồn mở có thể được sử dụng như một giải pháp lưu trữ trên máy chủ hoặc như một ứng dụng desktop, cho phép quản trị viên Azure quản lý và kiểm tra các nút và ứng dụng cloud trong các Azure Service Fabric cluster.
SFX được phát hiện tồn tại một lỗ hổng giả mạo (CVE-2022-35829) có tên FabriXss, có thể cho phép kẻ tấn công giành quyền quản trị viên và chiếm lấy các cụm Service Fabric. Lỗi bắt nguồn từ việc người dùng Deployer với quyền duy nhất là 'Tạo ứng dụng mới' qua trang tổng quan có thể sử dụng quyền này để tạo tên ứng dụng độc hại và lạm dụng quyền Quản trị viên để thực hiện các lệnh gọi và các thao tác khác nhau, gồm thiết lập lại Cluster Node (Nút cụm). Thao tác này sẽ xóa tất cả các cài đặt tùy chỉnh như mật khẩu và cấu hình bảo mật, cho phép kẻ tấn công tạo mật khẩu mới và có được đầy đủ quyền của Quản trị viên.
Chưa có mã khai thác trong thực tế
Lỗ hổng được báo cho Microsoft vào ngày 11 tháng 8 và được giải quyết trong bản vá thứ Ba của tháng này vào ngày 11 tháng 10.
Theo Microsoft, việc khai thác FabriXss chỉ có thể được sử dụng trong các cuộc tấn công nhắm vào các phiên bản cũ hơn, không được hỗ trợ của Service Fabric Explorer (SFXv1). Ứng dụng web SFX mặc định hiện tại (SFXv2) không bị ảnh hưởng.
Tuy nhiên, việc khách hàng chuyển đổi thủ công từ SFXv2 sang SFXv1 là hoàn toàn có khả năng.
Để khai thác, kẻ tấn công cần có đặc quyền triển khai và thực thi mã trong cụm Service Fabric và mục tiêu phải sử dụng SFXv1.
Dù chưa có dấu hiệu cho thấy lỗ hổng đang bị khai thác trong thực tế, tất cả khách hàng của Service Fabric được khuyến cáo nâng cấp lên phiên bản SFX mới nhất và không chuyển sang sử dụng SFXv1.
Theo Microsoft, bản phát hành Service Fabric sắp tới sẽ loại bỏ SFXv1 và tùy chọn chuyển sang SFXv1.
Theo Bleeping Computer
Chỉnh sửa lần cuối: