[보안뉴스 문가용 기자] Vulnerabilidades que podem afetar vários serviços do Azure e cenários de ataque foram expostas. A vulnerabilidade é chamada de EmojiDeploy e, se explorada com sucesso, pode executar código arbitrário, roubar dados confidenciais ou hackear aplicativos. Foi descoberto pela empresa de segurança Ermetic.
[이미지 = utoimage]
“É difícil para nós ter uma visão do que está acontecendo na base da nuvem, e temos que ter cuidado com isso, o que pode levar a alguns grandes incidentes de segurança”, explica Yigal Goffman, chefe de pesquisa da Ermetic. “Em outras palavras, não confie nas opções e configurações padrão fornecidas pelos fornecedores de nuvem. Nem tudo que os provedores de nuvem fazem é seguro. Embora seja verdade que os fornecedores de nuvem gastam grandes quantias de dinheiro em segurança, é impossível ser 100% perfeito .”
Recentemente, uma após a outra, vulnerabilidades graves foram descobertas no Azure e em outros ecossistemas de nuvem. Em outubro de 2022, duas vulnerabilidades são descobertas em Jira Allen na Atlassian. Foi analisado que esta é uma vulnerabilidade que permite aos invasores explorar vários serviços da Atlassian. Em janeiro de 2022, a Amazon corrigiu duas vulnerabilidades de segurança na AWS e diz-se que, se você explorar essas vulnerabilidades com sucesso, poderá obter acesso às nuvens de outros usuários da AWS.
“Os sistemas em nuvem são muito complexos. Reconhecer a complexidade da nuvem é o primeiro passo para a segurança na nuvem. Só porque é fácil de usar devido à facilidade de interface ou conectividade de serviços não significa que a nuvem seja simples.” Goffman explicou .
Explorações de gerenciamento de código-fonte
A vulnerabilidade descoberta desta vez pela Ermetic é causada por um problema ao configurar cookies específicos no Source Code Manager (SCM). O Azure configura duas opções de controle de segurança (bloqueio XSS e bloqueio XSRF), mas o padrão não é tão difícil, explica Ermetic. “Portanto, os usuários do Azure que usam o Azure Apps Service, Azure Functions e Azure Logic Apps Services podem ser particularmente afetados.”
Os três serviços do Azure mencionados por Goffman são os que a maioria das pessoas no ecossistema do Azure usa. Mas o que todos os três serviços têm em comum é que eles permitem que as equipes da Web e de desenvolvimento gerenciem aplicativos do Azure usando o painel de gerenciamento de código-fonte. O SCM depende muito do projeto de gerenciamento de repositório Kudu de código aberto. Kudu é uma estrutura baseada em .NET, semelhante a A vulnerabilidade do Git. XSS também está aqui no Azure SCM”.
Portanto, Kudu e SCM devem ser altamente protegidos para garantir a segurança dos serviços do Azure, mas chegar a esse ponto não é uma tarefa fácil. “Não é fácil encontrar essas fontes e configurações originais. Poucos clientes que usam os serviços do Azure têm um bom entendimento do painel SCM.”
Não são apenas as fraquezas do SCM. Outro problema é que o uso de URLs personalizados pode contornar as configurações de segurança de cookies dos serviços do Azure. Isso é o que eu encontrei enquanto procurava por vulnerabilidades, e uma função de segurança que verifica se todos os elementos carregados em um site têm a mesma origem pode ser ignorada com um URL específico. É um problema de segurança de cookie, combinando a vulnerabilidade SCM acima com esta vulnerabilidade na URL torna possível um “ataque de origem cruzada”.
Transparência de responsabilidades e configurações compartilhadas
“O que as vulnerabilidades descobertas desta vez sugerem é que o hardware de segurança em nuvem está muito oculto para ser usado e você não pode confiar nas configurações padrão”, explica Goffman. “A característica mais importante da segurança na nuvem é a ‘responsabilidade compartilhada’. É algo que tem sido enfatizado ao longo dos anos. Mas, mesmo assim, no mundo real, os clientes confiam tudo aos provedores de nuvem, e os provedores de nuvem operam o hardware de segurança de maneira opaca .”
Ao mesmo tempo, afirma Goffman, “existe uma configuração padrão e devemos lembrar que há limites para ela”. “Do ponto de vista do cliente, ele deve ser capaz de reconhecer os dispositivos de segurança ocultos pelos provedores de serviços em nuvem, um por um, e se acostumar a usá-los. Por um lado, os direitos de acesso aos recursos da nuvem devem ser controlados o mais estritamente possível. É importante aderir ao princípio de dar a cada indivíduo apenas a quantidade absolutamente necessária de poder.”
A Hermetic descobriu esse problema em outubro e o enviou à MS, e a MS supostamente aplicou o patch a todo o Azure em dezembro. Um mês depois, a vulnerabilidade foi anunciada. “Quando se trata de segurança na nuvem, ainda há muito a ser feito por provedores de serviços e usuários. Há muitas coisas a melhorar. Até lá, o caminho mais seguro é que os usuários da nuvem façam um gerenciamento de permissão mais abrangente.”
Resumo de 3 linhas
1. Uma vulnerabilidade significativa foi descoberta no ecossistema do Azure em outubro passado.
2. O material de código aberto do Kudu e as configurações padrão soltas no Azure são a raiz do problema.
3. O problema é que o hardware de segurança da nuvem não é exposto com cuidado e os usuários confiam a segurança apenas à nuvem.
[국제부 문가용 기자(globoan@boannews.com)]
www.boannews.com) Reprodução não autorizada – Redistribuição proibida>
“Pensador. Aspirante a amante do Twitter. Empreendedor. Fã de comida. Comunicador total. Especialista em café. Evangelista da web. Fanático por viagens. Jogador.”