Vulnerabilità critiche nell’infrastruttura Azure Cloud.
Azure CVE 2019-1234 e CVE 2019-1372.
Vulnerabilità Azure Cloud – Premessa
Checkpoin, coma altre grosse aziende in ambito sicurezza, utilizzano aziende “satellite” del tipo “bug hunter”. Queste aziende vendono al miglior offerente le informazioni riguardo nuovi bug o falle di sicurezza. Il periodo che intercorre dall’aver trovato un bug al rilascio di un correttivo può essere più o meno lungo. Stiamo parlando dal mese ai sei mesi. Quindi da quando si scopre una falla possono passare anche sei mesi se l’informazione viene acquistata da una azienda che si occupa di sicurezza. Altrimenti, potete immaginare a cosa possano servire quelle informazioni se vanno in un altro tipo di mani.
Il Fatto
Checkpoint : “La sicurezza nel cloud è come il voodoo. I clienti si fidano ciecamente dei fornitori di cloud e della sicurezza che forniscono. Se osserviamo le vulnerabilità del cloud più diffuse, vediamo che la maggior parte di esse si concentra sulla sicurezza delle applicazioni del cliente (ovvero le configurazioni errate o le applicazioni vulnerabili) e non sull’infrastruttura del fornitore del cloud stesso. Volevamo confutare il presupposto che le infrastrutture in-the-cloud siano sicure. Siamo in grado di dimostrare vari vettori di attacco e vulnerabilità che abbiamo trovato su Azure Stack. Check Point Research ha informato il Microsoft Security Response Center sulle vulnerabilità esposte in questa ricerca e una soluzione è stata implementata in modo responsabile per garantire che i suoi utenti possano continuare a utilizzare Azure Stack in tutta sicurezza .”
Si è mossa pure Cert-pa.
“Per impostazione predefinita ogni infrastruttura ha al suo interno diversi moduli con precisi ruoli. Dalla ricerca è emerso che Service Fabric Explorer, una Web App preinstallata nella macchina, che assume il ruolo di RP e Infrastructure Control Layer (AzS-XRP01), usata per visualizzare i servizi interni creati come applicazioni Service Fabric (situate nel livello RP), consentirebbe l’accesso ad alcuni servizi senza richiedere alcun tipo di autenticazione.”
Vulnerabilità Azure Cloud
CVE-2019-1234
A spoofing vulnerability exists when Azure Stack fails to validate certain requests, aka ‘Azure Stack Spoofing Vulnerability’.
CVE 2019-1372
Il secondo problema (CVE-2019-1372) è invece un difetto di esecuzione del codice remoto che ha colpito il servizio Azure App Service su Azure Stack, che avrebbe permesso a un hacker di assumere il controllo completo dell’intero server Azure e di conseguenza di prendere il controllo del codice aziendale di un’impresa.
La cosa più interessante è che un hacker può sfruttare entrambi i problemi creando un account utente gratuito con Azure Cloud ed eseguendo funzioni dannose su di esso o inviando richieste HTTP non autenticate al portale utente di Azure Stack.
Remote code execution in Microsoft Azure App Service. Insomma come il suo prodotto di punta, ha la finestre aperte!
La vulnerabilità consente a un aggressore remoto di eseguire codice arbitrario sul sistema bersaglio.
La vulnerabilità esiste a causa di un errore in Azure App Service/ Antares su Azure Stack. Un utente autenticato da remoto può utilizzare una funzione non privilegiata per eseguire codice arbitrario nel contesto del sistema NT AUTHORITY, sfuggendo così alla Sandbox.
Il successo dello sfruttamento di questa vulnerabilità può portare ad una completa compromissione del sistema vulnerabile.
Sapremo mai per quanto tempo è stata sfruttata questa falla? No, mai! E perchè? Perche non potrete mai fare causa a Microsoft anche se avete acquistato i suoi servizi o beni. Perchè dici questo? perchè non ho mai sentito che una azienda sia riuscita a far causa a Microsoft.
Giovanni Popolizio