微軟近日修補了Azure API管理服務(Azure API Management)3項可能讓攻擊者存取Azure資產及上傳惡意檔案的漏洞。

3項漏洞是由安全廠商Ermetic發現並通報微軟,包含2項伺服器請求偽造(server-side request forgery,SSRF)及1項檔案上傳路徑跨越(path traversal)漏洞,皆位於Azure API管理服務的開發人員入口網站(portal)上。Azure API管理服務是微軟Azure的多雲管理平臺,允許企業用戶將其API對內、外部客戶開放以實施各種連線服務。

第1項漏洞發生在代理伺服器(CORS Proxy),是安全廠商去年11月12日通報,微軟於4天後修補完成。這類服務可使用額外CORS HTTP標頭,讓某臺使用者代理伺服器獲得權限,存取其他想要的網域伺服器資源。透過修改CORS HTTPOcp-Apim-Method HTTP標頭的參數值,以及輸入DNS,即可繞過防火牆黑名單,將Azure 內部資源解析到攻擊者控制的伺服器上。

值得注意的是,第1項漏洞還是繞過微軟去年11月修補另一個很相似Azure驗證漏洞的結果。

第2項漏洞則是位於Azure管理平臺的代管代理伺服器中的設定後端服務(set-backend-service)政策,該政策方便用戶經由前端下指令,來變更API配置指向後端資源URL的參數。透過從前端發送具特定verb/method的HTTP請求,研究人員得以濫用這漏洞,達成SSRF,存取Azure資源。

第3項漏洞是位於API管理平臺的開發者入口網站,後者允許開發人員上傳檔案或圖片。這漏洞出在Azure並未驗證上傳檔案的類型及路徑,讓攻擊者得以上傳惡意檔案,以執行如DLL劫持、IIS Node配置調換(config swapping)等其他方法而造成執行程式碼。研究人員並提醒,這漏洞也影響開發人員自行管理的入口網站。

3項漏洞都已由微軟修補完成。

熱門新聞

Advertisement