0xNews - MS Azure 관리 서비스에서 취약점 발견
0xNews - MS Azure 관리 서비스에서 취약점 발견
이스라엘 클라우드 보안회사 Ermetic 발표
MS cloud 서비스인 Azure 에서 공격자가 중요 정보나 백엔드 서비스에 접근하는 것을 악용할 수 있는 취약점 3개 발견
이 중 2개는 SSRF Server-Side Request Forgery
다른 1개는 API Management 개발자 포럼의 무제한 파일 업로드 기능 인스턴스 부분
SSRF 취약점을 성공적으로 악용하게 되면 공격자는
서비스의 CORS 프록시나 호스팅 프록시 자체에서 요청을 발송
내부 Azure 자산에 접속 가능
DoS 공격 가능
웹 애플리케이션 방화벽 우회 가능
파일 업로드 경로 순회를 통해 공격자는
악의적인 파일을 MS Azure의 호스팅된 내부 워크로드에 업로드 가능
MS Azure API Management 는 조직이 API를 외부나 내부 고객에게 안전하게 노출하고 광범위하게 연결된 경험을 가능하게 하는 다중 클라우드 관리 플랫폼
SSRF 취약점 중 하나
올해 초 타 회사에서 유사한 취약점을 해결하기 위해 MS 가 시행한 수정사항을 우회
다른 취약점은 API Management 프록시 기능에 존재
SSRF 취약점을 악용하면 기밀성과 무결성이 손상
공격자가 내부 Azure 리소스 읽기 가능
승인되지 않은 코드 실행 가능
API Management 개발자 포럼에서 발견된 경로 순회 취약점은
업로드된 파일의 파일 형식이나 경로에 대한 유효성 검사가 부족해서 발생
인증된 사용자는 이 허점을 이용하여 악성 파일을 개발자 포털 서버에 업로드 가능
잠재적으로 기본 시스템에서 임의 코드 실행 가능
해당 정보 공개 전 MS Azure 는 발표된 세가지 취약점 패치 완료
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.