Μια ευπάθεια υψηλής σοβαρότητας στο Azure Service Fabric Explorer της Microsoft θα μπορούσε να έχει επιτρέψει σε έναν απομακρυσμένο, μη πιστοποιημένο εισβολέα να εκτελέσει αυθαίρετο κώδικα, λέει η εταιρεία ασφάλειας cloud Orca.

Παρακολούθηση ως CVE-2023-23383 (βαθμολογία CVSS 8,2), το σφάλμα περιγράφεται ως ζήτημα δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) που θα μπορούσε να οδηγήσει στην εκτέλεση κώδικα σε κοντέινερ που φιλοξενούνται σε έναν κόμβο Service Fabric.

Αναφέρεται ως ‘Super FabriXss», το ελάττωμα βρισκόταν σε μια παράμετρο «Όνομα κόμβου», η οποία επέτρεπε σε έναν εισβολέα να ενσωματώσει ένα iframe για να ανακτήσει αρχεία από έναν απομακρυσμένο διακομιστή που ελέγχεται από τον εισβολέα.

Εκμεταλλευόμενος το ελάττωμα ασφαλείας, ένας εισβολέας θα μπορούσε να εκτελέσει ένα κακόβουλο αντίστροφο κέλυφος PowerShell, επιτρέποντάς του να εκτελεί κώδικα στο κοντέινερ που έχει αναπτυχθεί στο cluster , οδηγώντας δυνητικά στην κατάληψη του συστήματος. Τόσο τα cluster Linux όσο και Windows βρέθηκαν ευάλωτα στην επίθεση.

Μετά τη δημιουργία ενός νέου Azure Service Fabric, οι ερευνητές παρατήρησαν ότι η τροποποίηση ενός ονόματος Node στη διεπαφή χρήστη αντικατοπτρίζεται στον ανεξάρτητο πίνακα ελέγχου του Node.

Στη συνέχεια, οι ερευνητές δημιούργησαν μια διεύθυνση URL και ενεργοποίησαν τον Τύπο συμβάντος cluster στην καρτέλα Συμβάντα, που τους επέτρεψε να ενεργοποιήσουν ένα ωφέλιμο φορτίο JavaScript, επιτυγχάνοντας τελικά την απομακρυσμένη εκτέλεση κώδικα (RCE).

Το proof-of-concept (PoC) της Orca Security χρησιμοποιεί μια διεύθυνση URL με ενσωματωμένο iframe που ενεργοποιεί μια αναβάθμιση μιας εφαρμογής Internet Information Services (IIS) που περιλαμβάνει μια οδηγία για τη λήψη ενός αρχείου .bat που περιέχει ένα κωδικοποιημένο αντίστροφο κέλυφος.

Στη συνέχεια, ο εισβολέας μπορεί να καταχραστεί το αντίστροφο κέλυφος για να αποκτήσει απομακρυσμένη πρόσβαση στην εφαρμογή και να το χρησιμοποιήσει για να εξαπολύσει περαιτέρω επιθέσεις, να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες ή ενδεχομένως να καταλάβει τον κόμβο cluster που φιλοξενεί το κοντέινερ.

Ένας εισβολέας θα μπορούσε να δημιουργήσει μια προσαρμοσμένη διεύθυνση URL στην οποία, όταν αποκτήσει πρόσβαση από έναν πιστοποιημένο χρήστη με τα κατάλληλα δικαιώματα, θα μπορούσε να δώσει εντολή στον χρήστη να ενεργοποιήσει τον Τύπο συμβάντος cluster , ενεργοποιώντας την αλυσίδα εκτέλεσης κώδικα.

 Η Microsoft αντιμετώπισε την ευπάθεια ως μέρος του Μάρτιος 2023 ενημερώσεις ασφαλείας της Τρίτης, επισημαίνοντάς το ως «σημαντικό». Λόγω της πολυπλοκότητας μιας επίθεσης και της απαιτούμενης αλληλεπίδρασης των χρηστών, ο τεχνολογικός γίγαντας πιστεύει ότι η εκμετάλλευση αυτού του σφάλματος είναι «λιγότερο πιθανή».