XSS solucionado en Azure Cloud Service (Fabric)

Microsoft corrigió una "falla peligrosa" en su componente Azure Service Fabric de la infraestructura de alojamiento en la nube de la compañía. Si se hubiera explotado, habría permitido que un actor malicioso no autenticado ejecutara código en un contenedor alojado en la plataforma.

Investigadores de Orca Security descubrieron la falla de Cross-site Scripting (XSS), a la que llamaron Super FabriXSS, en diciembre y se la informaron a Microsoft, que emitió una solución en la ronda de actualizaciones de marzo.

Los investigadores revelaron los detalles técnicos del error y demostraron cómo los atacantes pueden aprovechar la falla, que hace que las versiones de Azure Service Fabric Explorer anteriores a 9.1.1583.9590 sean vulnerables a la explotación, en una presentación en el BlueHat IL 2023 de Microsoft en Tel Aviv.

Super FabriXSS, identificado como CVE-2023-23383, con una calificación CVSS de 8.2, es la segunda falla XSS que, hasta ahora, los investigadores de Orca descubrieron en Azure Service Fabric Explorer. Como parte de la plataforma en la nube Azure de Microsoft, Azure Service permite el empaquetado, la implementación y la gestión de microservicios y contenedores sin estado y con estado en sistemas distribuidos a gran escala.

La primera vulnerabilidad XSS, denominada FabriXSS y detallada por los investigadores de Orca en octubre, no representaba un riesgo tan grave como su sucesor.

Explotando Super FabriXSS

Con Super FabriXSS, un atacante remoto no autenticado puede ejecutar código en un contenedor alojado en uno de los nodos de Service Fabric, lo que "significa que un atacante podría obtener el control de sistemas críticos y causar daños significativos", dijo Lidor Ben Shitrit, investigador de seguridad en la nube de Orca Security.

Usando Super FabriXSS, un atacante podría crear una URL maliciosa que, cuando se hace clic, inicia un proceso de varios pasos que eventualmente conduce a la creación y despliegue de un contenedor dañino en uno de los nodos del clúster.

Específicamente, los investigadores demostraron en BlueHat cómo podían escalar una vulnerabilidad XSS reflejada en Azure Service Fabric Explorer a un RCE no autenticado abusando de la pestaña de métricas y habilitando una opción específica en la consola.

La vulnerabilidad en sí surge de un parámetro vulnerable de "Node name", que puede explotarse para incrustar un iframe en el contexto del usuario, dijo Shitrit en la publicación. Este iframe luego recupera archivos remotos de un servidor controlado por el atacante, lo que finalmente conduce a la ejecución de un shell inverso malicioso de PowerShell.

"Esta cadena de ataque puede resultar en última instancia en la ejecución remota de código en el contenedor [que] se implementa en el clúster, lo que podría permitir que un atacante tome el control de los sistemas críticos", escribió.

Mitigación e implicaciones para los usuarios de Azure

Orca informó la vulnerabilidad al Microsoft Security Response Center (MSRC) el 20 de diciembre, y comenzó una investigación sobre el problema.

Si bien no es necesaria ninguna otra acción por parte de los usuarios de Azure Service Fabric, la falla resalta el peligro inherente de las vulnerabilidades sin parchear en las arquitecturas basadas en la nube, en comparación con las soluciones locales.

"Con los sistemas basados en la nube, las organizaciones a menudo dependen de proveedores externos, lo que genera una mayor superficie de ataque y menos control sobre las medidas de seguridad", agrega. "Además, es importante tener en cuenta la naturaleza multiinquilino de los entornos de nube y la importancia de mantener un aislamiento adecuado entre los inquilinos".

Fuente: Dark Reading

Suscríbete a nuestro Boletín