Se han detectado y solucionado agujeros de seguridad en el servicio Azure API Management. La editorial Ermetic anunció que microsoft había “parcheado tres vulnerabilidades, incluidas dos llamadas Server-Side Request Forgery (falsificación de solicitudes en servidores) y por recorrido de directorio en la descarga de archivos en una carga de trabajo Azur interno ". Las empresas utilizan el servicio de destino para desarrollar y administrar API de forma segura en entornos de TI híbridos y de múltiples nubes.

De las dos vulnerabilidades SSRF identificadas, una se refiere al proxy CORS de Azure API Management y la otra al proxy de alojamiento de gestión de servicios en la nube. Al principio, los ingenieros pensaron que el proxy CORS era una copia de una vulnerabilidad informada anteriormente que había sido reparada por Microsoft. Pero más tarde descubrieron que la falla pasó por alto la solución inicial. La firma de Redmond finalmente lo corrigió en enero. Las vulnerabilidades de SSRF afectan a los servidores centrales de los que dependen muchos usuarios y empresas para sus operaciones diarias. "Al explotarlos, los atacantes podrían simular solicitudes de estos servidores legítimos, acceder a servicios internos que pueden contener información confidencial perteneciente a clientes de Azure e incluso impedir la disponibilidad de servidores vulnerables", dijo Ermetic. en su opinión.

El impacto de la vulnerabilidad de cruce de directorios, mucho más allá de Azure

En otra infracción que involucra el cruce de directorios, Azure no valida el tipo de archivo y la ruta de los archivos cargados en el Portal de desarrolladores de Azure para el servicio API Management. "Los usuarios autenticados pueden atravesar el directorio especificado al cargar archivos, cargar archivos maliciosos en el servidor del portal de desarrolladores y posiblemente ejecutar código en él mediante el secuestro de DLL, el intercambio de configuración de iisnode o cualquier otro vector de ataque relevante", dijo además Ermetic. "El portal de desarrolladores también tiene una función de autohospedaje, lo que indica que la vulnerabilidad no sólo afecta a Azure, sino también a los usuarios finales que implementaron el portal de desarrolladores ellos mismos", añadió la empresa. ciberseguridad.

Recientemente se identificaron otras vulnerabilidades críticas en Azure. Según un informe del proveedor Orca del mes pasado, los atacantes podrían aprovechar una falla "por diseño" descubierta en Azure para acceder a cuentas de almacenamiento, moverse lateralmente a través de entornos de TI e incluso ejecutar código de forma remota. Para evitar la explotación de la falla, los investigadores recomiendan a las empresas que deshabiliten la autorización de clave compartida de Azure y utilicen la autenticación de Azure Active Directory en su lugar. "También deberían implementar el principio de acceso con privilegios mínimos para reducir significativamente este riesgo", dijo también Orca. En enero, Ermetic identificó una vulnerabilidad de ejecución remota de código que afectaba a servicios como Function Apps, App Service, Logic Apps en Azure Cloud y otros servicios en la nube. Apodado EmojiDeploy, la falla provoca un ataque de falsificación de direcciones entre sitios (CSRF) en el servicio de gestión de cambios de software (SCM) de Kudu en el que dependen muchas características del servicio de aplicaciones Azure. Al abusar de esta vulnerabilidad, los atacantes pueden implementar archivos zip maliciosos que contienen una carga útil en la aplicación Azure de la víctima.