Detectadas dos nuevas vulnerabilidades en Azure App Services

Dos nuevas vulnerabilidades podrían haber permitido a un usuario malicioso explotar un SSRF (Server-Side Request Forgery) pudiendo incluso alcanzar la ejecución arbitraria de código y tomar el control del servidor.

Investigadores de la firma Intezer han hecho público un informe donde advierten de dos fallos de seguridad encontrados en Azure App Services, un conjunto de herramientas de servicio orientadas al alojamiento de aplicaciones web. El componente afectado es KuduLite, empleado en entornos Linux.

Para contextualizar, en el flujo de trabajo de App Services, al subir código a un repositorio git asociado al proyecto, Azure se encarga de las tareas de despliegue así como de asignar un dominio para la aplicación, facilitando la labor a los desarrolladores. Para esto es necesario contar con un App Service y un App Service Plan, que generan un entorno Docker con dos nodos: uno de gestión y otro de aplicación. También habilita dos dominios:

app.azurewebsites.net – Servidor web de la aplicación.

app.scm.azurewebsites.net – Página de administración de App Service

Estos despliegues de Azure en Linux son gestionados a través de KuduLite, que ofrece información de diagnóstico sobre el sistema y que consiste en una interfaz web SSH hacia el nodo de aplicación.

Esquema de comunicación App Service Plan

La primera vulnerabilidad corresponde a una escalada de privilegios que permite controlar KuduLite a través de credenciales predeterminadas que hace posible conectarse a través de SSH a la instancia e iniciar sesión como root, permitiendo al atacante tener control total sobre el servidor SCM (Software Configuration Management).

Controlando KuduLite tenemos control completo sobre el servidor SCM. Podríamos escuchar las peticiones HTTP de un usuario, añadir nuestras propias páginas o inyectar código JavaScript malicioso en la web del usuario

Escalado de privilegios en KuduLite

La segunda vulnerabilidad tiene que ver con la forma en la que el nodo de aplicación envía peticiones a la API de KuduLite, que potencialmente permitiría a una aplicación web con vulnerabilidades SSRF (Server-Side Request Forgery) acceder al sistema de ficheros del nodo para robar código fuente mediante una petición GET.

Acceso a código fuente mediante GET

De manera análoga, a través de una petición POST, un atacante podría aprovechar este SSRF para llegar a ejecutar código de forma remota en el servidor.

Ejecución remota de código mediante POST

En Kudu, la versión original del proyecto para Windows, los paquetes que envía el nodo de aplicación al nodo de gestión se descartan de manera automática, por lo que no es posible explotar estos fallos.

Ambas vulnerabilidades fueron reportadas a Microsoft y solucionadas en poco tiempo. Sin embargo, este tipo de informes pone de manifiesto los retos en seguridad informática asociados a la computación en la nube, ya que todas las infraestructuras implicadas en el proceso deben mantener un nivel adecuado de seguridad.

Más información:
Researchers Find Vulnerabilities in Microsoft Azure Cloud Service https://thehackernews.com/2020/10/microsoft-azure-vulnerability.html

Comparte en tus redes: