微軟雲端服務平台漏洞 不用身分驗證即可登入

編譯／鄭智懷

以色列資安公司Orca Security在本周稍早發表最新研究報告，指出微軟的公用雲端服務（Public Cloud Service）平台Microsoft Azure的Azure API Management、Azure Functions、Azure Machine Learning 和 Azure Digital Twins服務存有漏洞，十分容易受到伺服器端請求偽造（SSRF）攻擊。其中，Azure Functions 和 Azure Digital Twins甚至無需任何身分驗證，駭客就可以利用漏洞入侵並控制伺服器。

報告中提到，伺服器端請求偽造攻擊不僅可以使攻擊者能夠入侵受害者設備的敏感端點，例如中繼資料服務（IMDS）身分識別端點，甚至可以藉此轉向其他設備，導致系統進一步破懷，以竊取其中敏感資料。

研究員Lidor Ben Shitrit指出，Azure API Management、Azure Functions和Azure Digital Twins的漏洞嚴重程度被評為重要；Azure Machine Learning則被評為低。上述漏洞都可以被駭客利用，允許其掃描設備端點，尋找伺服器漏洞或敏感資料，提供一切有價值的訊息，接著入侵設備端點並控制伺服器，或是用來發動進一步的攻擊。

Lidor Ben Shitrit建議，為了減少損害，各組織應確實驗證所有輸入端，確保伺服器配置僅允許必要的輸入和輸出流量，避免錯誤配置，並遵守最小特權原則（PoLP ）。

Lidor Ben Shitrit補充道，「研究發現中最值得注意的部分是我們僅用最小的努力就能找到的伺服器端請求偽造漏洞的數量，顯示其有多普遍以及在雲端環境中造成的風險。」

目前，在2022年10月至12月之間發現的四個漏洞都已經在後續的更新修復。

資料來源：The Hacker News

瀏覽 610 次