Pesquisadores descobrem 3 vulnerabilidades no serviço de gerenciamento de API da Microsoft Azure
5 de Maio de 2023

Três novas falhas de segurança foram divulgadas no serviço de Gerenciamento de API da Microsoft Azure que poderiam ser exploradas por atores maliciosos para obter acesso a informações sensíveis ou serviços de backend.

Isso inclui duas falhas de two server-side request forgery (SSRF) e uma instância de funcionalidade de upload de arquivo irrestrita no portal de desenvolvedor do Gerenciamento de API, de acordo com a empresa de segurança em nuvem israelense Ermetic.

"Ao abusar das vulnerabilidades SSRF, os invasores poderiam enviar solicitações do Proxy CORS do serviço e do próprio proxy de hospedagem, acessar ativos Azure internos, negar serviço e ignorar firewalls de aplicativos da web", disse a pesquisadora de segurança Liv Matan em um relatório compartilhado com o The Hacker News.

"Com a travessia de caminho de upload de arquivo, os invasores poderiam enviar arquivos maliciosos para a carga de trabalho interna hospedada da Azure".

O Gerenciamento de API da Azure é uma plataforma de gerenciamento multicloud que permite que as organizações exponham com segurança suas APIs para clientes externos e internos e habilitem uma ampla gama de experiências conectadas.

Das duas falhas SSRF identificadas pela Ermetic, uma delas é uma bypass para uma correção implementada pela Microsoft para abordar uma vulnerabilidade semelhante relatada pela Orca no início deste ano.

A outra vulnerabilidade reside na função de proxy do Gerenciamento de API.

A exploração de falhas SSRF pode resultar na perda de confidencialidade e integridade, permitindo que um ator ameaçador leia recursos internos da Azure e execute código não autorizado.

A falha de travessia de caminho descoberta no portal de desenvolvedor, por outro lado, decorre da falta de validação do tipo de arquivo e do caminho dos arquivos enviados.

Um usuário autenticado pode aproveitar essa brecha para enviar arquivos maliciosos para o servidor do portal do desenvolvedor e potencialmente executar código arbitrário no sistema subjacente.

Após a divulgação responsável, todas as três falhas foram corrigidas pela Microsoft.

As descobertas ocorrem semanas depois que pesquisadores da Orca detalharam uma "falha de design" na Microsoft Azure que poderia ser explorada por invasores para obter acesso a contas de armazenamento, mover-se lateralmente no ambiente e até mesmo executar código remoto.

Também segue a descoberta de outra vulnerabilidade da Azure chamada EmojiDeploy que poderia permitir que um invasor assumisse o controle de um aplicativo específico.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...