微软Azure API管理服务中披露了三个新的安全漏洞,恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。
据以色列云安全公司Ermetic称,这包括两个服务器端请求伪造(SSRF)漏洞和API管理开发人员门户中的一个不受限制的文件上传功能实例。
安全研究员Liv Matan在与the Hacker News分享的一份报告中表示:“通过滥用SSRF漏洞,攻击者可以从服务的CORS代理和托管代理本身发送请求,访问Azure内部资产,拒绝服务并绕过web应用防火墙。”
“通过文件上传路径遍历,攻击者可以将恶意文件上传到Azure的托管内部工作负载。”
Azure API Management是一个多云管理平台,允许组织向外部和内部客户安全地公开他们的API,并实现广泛的连接体验。
在Ermetic发现的两个SSRF漏洞中,其中一个是绕过微软为解决Orca今年早些时候报告的类似漏洞而实施的修复程序。另一个漏洞存在于API Management代理功能中。
利用SSRF漏洞可能导致机密性和完整性的丧失,允许威胁行为者读取内部Azure资源并执行未经授权的代码。
另一方面,在开发人员门户中发现的路径遍历缺陷源于缺乏对上传文件的文件类型和路径的验证。
经过身份验证的用户可以利用这个漏洞将恶意文件上传到开发人员门户服务器,甚至可能在底层系统上执行任意代码。
经过负责任的披露,微软已经修补了这三个漏洞。
几周前,Orca的研究人员详细介绍了微软Azure的一个“设计缺陷”,攻击者可以利用该缺陷访问存储帐户,在环境中横向移动,甚至执行远程代码。
在此之前,微软还发现了另一个名为EmojiDeploy的Azure漏洞,该漏洞可能使攻击者能够控制目标应用程序。
声明:本文相关资讯来自Thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站删除。