Microsoft corrigió una «falla peligrosa» en su componente
Azure Service Fabric de la infraestructura de alojamiento en la nube de
la compañía. Si se hubiera explotado, habría permitido que un actor malicioso
no autenticado ejecutara código en un contenedor alojado en la plataforma.
Investigadores de
Orca Security descubrieron la falla de Cross-site Scripting (XSS), a la que llamaron Super FabriXSS, en diciembre y se la informaron a
Microsoft, que emitió una solución en la ronda de actualizaciones de marzo.
Los investigadores revelaron los detalles técnicos del error y demostraron
cómo los atacantes pueden aprovechar la falla, que hace que las versiones de
Azure Service Fabric Explorer anteriores a 9.1.1583.9590 sean vulnerables a la
explotación, en una presentación en el
BlueHat IL 2023 de Microsoft en Tel Aviv.
Super FabriXSS, identificado como
CVE-2023-23383, con una calificación CVSS de 8.2, es la segunda falla XSS que, hasta ahora,
los investigadores de Orca descubrieron en Azure Service Fabric Explorer. Como
parte de la plataforma en la nube Azure de Microsoft, Azure Service permite el
empaquetado, la implementación y la gestión de microservicios y contenedores
sin estado y con estado en sistemas distribuidos a gran escala.
La primera vulnerabilidad XSS, denominada FabriXSS y
detallada por los investigadores de Orca en octubre, no representaba un riesgo tan grave como su sucesor.
Explotando Super FabriXSS
Con Super FabriXSS, un atacante remoto no autenticado puede ejecutar código en
un contenedor alojado en uno de los nodos de Service Fabric, lo que
«significa que un atacante podría obtener el control de sistemas críticos y
causar daños significativos», dijo Lidor Ben Shitrit, investigador de seguridad en la nube de Orca
Security.
Usando Super FabriXSS, un atacante podría crear una URL maliciosa que, cuando
se hace clic, inicia un proceso de varios pasos que eventualmente conduce a la
creación y despliegue de un contenedor dañino en uno de los nodos del clúster.
Específicamente, los investigadores demostraron en BlueHat cómo podían escalar
una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer a un RCE no
autenticado abusando de la pestaña de métricas y habilitando una opción
específica en la consola.
La vulnerabilidad en sí surge de un parámetro vulnerable de
«Node name», que puede explotarse para incrustar
un iframe en el contexto del usuario, dijo Shitrit en la
publicación. Este iframe luego recupera archivos remotos de un servidor
controlado por el atacante, lo que finalmente conduce a la ejecución de un
shell inverso malicioso de PowerShell.
«Esta cadena de ataque puede resultar en última instancia en la ejecución
remota de código en el contenedor [que] se implementa en el clúster, lo que
podría permitir que un atacante tome el control de los sistemas críticos», escribió.
Mitigación e implicaciones para los usuarios de Azure
Orca informó la vulnerabilidad al Microsoft Security Response Center (MSRC) el
20 de diciembre, y comenzó una investigación sobre el problema.
Si bien no es necesaria ninguna otra acción por parte de los usuarios de Azure
Service Fabric, la falla resalta el peligro inherente de las vulnerabilidades
sin parchear en las arquitecturas basadas en la nube, en comparación con las
soluciones locales.
«Con los sistemas basados en la nube, las organizaciones a menudo dependen
de proveedores externos, lo que genera una mayor superficie de ataque y
menos control sobre las medidas de seguridad», agrega.
«Además, es importante tener en cuenta la naturaleza multiinquilino de los
entornos de nube y la importancia de mantener un aislamiento adecuado entre
los inquilinos».
Fuente:
Dark Reading
Los comentarios están cerrados.