Resumen
Microsoft solucionó recientemente un conjunto de vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF) en cuatro servicios de Azure (Azure API Management, Azure Functions, Azure Machine Studying y Azure Electronic Twins) informados por Orca Stability. Se determinó que estas vulnerabilidades SSRF son de bajo riesgo, ya que no permiten el acceso a información confidencial o servicios de again-stop de Azure. Una vez que se informaron estas vulnerabilidades de SSRF, Microsoft tomó rápidamente los pasos necesarios para resolver cada vulnerabilidad mediante la implementación de una validación de entrada adicional para las direcciones URL vulnerables. Microsoft también realizó una investigación exhaustiva y determinó que estas vulnerabilidades de SSRF no se podían usar para acceder a metadatos, conectarse a servicios internos, acceder a datos no autorizados u obtener acceso entre inquilinos. No se requiere ninguna acción del cliente para los cuatro servicios de Azure afectados.
El impacto de las vulnerabilidades de SSRF puede variar según el entorno, pero puede permitir el acceso a puntos finales internos confidenciales o escaneo de puertos. Microsoft cuenta con mecanismos para evitar el abuso de privilegios, como la recuperación no autorizada de tokens, el movimiento lateral o la ejecución de código. Como tal, estas cuatro vulnerabilidades no generaron ningún impacto substance en los servicios o la infraestructura de Azure.
Detalles técnicos
Los siguientes son los 4 servicios de Azure en los que se informaron vulnerabilidades de SSRF. Una vez que se informaron, los equipos de ingeniería y seguridad de Microsoft rápidamente tomaron medidas para mitigar estas vulnerabilidades.
- Gemelos digitales de Azure: Se informó una vulnerabilidad SSRF el 8 de octubre de 2022 en Digital Twins Explorer alojado. Se publicó una corrección el 17 de octubre de 2022. Azure Electronic Twins tiene mecanismos para evitar el acceso a IDMS y al servidor de conexión que impide el acceso a otros servicios internos de Azure.
- Funciones de Azure: Se informó una vulnerabilidad SSRF el 12 de noviembre de 2022 en Azure Functions Company que podría permitir que un usuario no autenticado solicite una URL arbitraria que permita a un atacante enumerar la información del puerto community. Se lanzó una solución el 9 de diciembre de 2022.
- Gestión de API: Una vulnerabilidad de SSRF informada el 12 de noviembre de 2022 en Azure API Management Provider podría permitir que un usuario autenticado solicite direcciones URL de bucle invertido abusando del servidor. El 16 de noviembre de 2022, el equipo de ingeniería de APIM completó la implementación de una solución para bloquear suficientemente el acceso a los puertos/recursos locales en la máquina virtual.
- Aprendizaje automático de Azure (ML): La vulnerabilidad SSRF autenticada informada el 2 de diciembre de 2022 en el servicio de aprendizaje automático se evaluó como de bajo riesgo, ya que no filtró ningún dato o token confidencial y no permitió el acceso a puntos finales internos confidenciales. La corrección se publicó el 20 de diciembre de 2022.
Reconocimiento
Agradecemos la oportunidad de investigar los hallazgos informados por Orca Security, que nos ayudaron a fortalecer aún más el servicio, y les agradecemos por practicar una investigación de seguridad segura según los términos de laPrograma de recompensas por errores de Microsoft. Alentamos a todos los investigadores a trabajar con proveedores bajoDivulgación de vulnerabilidad coordinada (CVD) y acatar lasreglas del compromisopara pruebas de penetración para evitar el impacto en los datos del cliente mientras se realizan investigaciones de seguridad.
Referencias
¿Preguntas? Abra un caso de soporte a través de Azure Portal enaka.ms/azsupt.
weblog de Orca: https://orca.security/resources/weblog/ssrf-vulnerability-in-four-azure-providers