Detalhes surgiram sobre uma vulnerabilidade no Azure Service Fabric Explorer (SFX) que agora foi corrigida e poderia levar a uma execução remota de código não autenticada.
Rastreada como
CVE-2023-23383
(pontuação CVSS: 8,2), o problema foi apelidado de "Super FabriXss" pela Orca Security, uma referência à falha FabriXss (
CVE-2022-35829
, pontuação CVSS: 6,2) que foi corrigida pela Microsoft em outubro de 2022.
"A vulnerabilidade Super FabriXss permite que atacantes remotos explorem uma vulnerabilidade XSS para realizar uma execução remota de código em um contêiner hospedado em um nó do Service Fabric sem a necessidade de autenticação", disse o pesquisador de segurança Lidor Ben Shitrit em um relatório compartilhado com o The Hacker News.
XSS refere-se a um tipo de ataque de injeção de código no lado do cliente que torna possível fazer upload de scripts maliciosos em sites confiáveis.
Os scripts são executados sempre que uma vítima visita o site comprometido, levando a consequências indesejadas.
Embora tanto FabriXss quanto Super FabriXss sejam falhas XSS, Super FabriXss tem implicações mais graves, pois pode ser utilizado para executar código e potencialmente assumir o controle de sistemas suscetíveis.
Super FabriXss, que reside na guia "Eventos" associada a cada nó no cluster da interface do usuário, também é uma falha XSS refletida, o que significa que o script é incorporado em um link e só é acionado quando o link é clicado.
"Este ataque aproveita as opções Cluster Type Toggle na guia Eventos na plataforma Service Fabric que permite a um atacante sobrescrever uma implantação Compose existente ao acionar uma atualização com uma URL especialmente criada a partir da Vulnerabilidade XSS", explicou Ben Shitrit.
"Ao tomar o controle de um aplicativo legítimo dessa forma, o atacante pode então usá-lo como plataforma para lançar mais ataques ou obter acesso a dados ou recursos sensíveis".
A falha, segundo a Orca, afeta a versão 9.1.1436.9590 ou anterior do Azure Service Fabric Explorer.
Desde então, a Microsoft resolveu o problema como parte da atualização de terça-feira do patch de março de 2023, descrevendo-o como uma vulnerabilidade de spoofing.
"A vulnerabilidade está no cliente da web, mas os scripts maliciosos executados no navegador da vítima se traduzem em ações executadas no cluster (remoto)", observou a Microsoft em seu aviso.
"Um usuário vítima teria que clicar no payload XSS armazenada injetada pelo atacante para ser comprometido."
A divulgação ocorre quando a NetSPI revelou uma falha de escalonamento de privilégios em aplicativos de funções do Azure, permitindo que usuários com permissões "somente leitura" acessem informações confidenciais e obtenham execução de comando.
Também segue a descoberta de uma má configuração no Azure Active Directory que expôs um número de aplicativos a acesso não autorizado, incluindo um sistema de gerenciamento de conteúdo (CMS) que alimenta o Bing.
A empresa de segurança em nuvem Wiz, que apelidou o ataque de BingBang, disse que ele poderia ser utilizado para alterar resultados de pesquisa no Bing e, pior ainda, até realizar ataques XSS em seus usuários.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...