Un grupo de expertos reveló el hallazgo de dos vulnerabilidades críticas en App Services, un servicio administrado por Microsoft Azure. La explotación de estas fallas permitiría a los actores de amenazas tomar el control de un servidor administrativo Linux.
En el reporte, los expertos en seguridad de Intezer mencionan que las fallas encontradas permitirían a los atacantes obtener la capacidad de falsificar solicitudes de publicación e incluso la ejecución de código remoto en App Service para desplegar tareas maliciosas adicionales. Las dos fallas fueron detectadas hace un par de meses. Después de recibir el reporte, Microsoft comenzó a trabajar en una actualización.
La primera de las vulnerabilidades fue detectada en KuduLite, un proyecto de código abierto dentro de App Services para gestionar la página de administración empleada para registrar administradores de App Services. Después de descubrir que el servicio SSH de la instancia de KuduLite usa credenciales codificadas “root: Docker!” para acceder al nodo de la aplicación, los expertos pudieron iniciar sesión como usuario root.
Una vez que obtuvieron el control de la implementación de KuduLite, los expertos lograron mantener el control sobre el servidor web Software Configuration Management (SCM), encargado de administrar y controlar sistemáticamente los cambios en los documentos y códigos durante el ciclo de desarrollo web.
Finalmente, los investigadores pudieron acceder a las solicitudes HTTP de un usuario en SCM, agregar sus propias solicitudes y desencadenar la inyección de un código JavaScript malicioso en el contexto de un sitio vulnerable.
Por otra parte, la segunda vulnerabilidad reside en la API de KuduLite, y existe debido a que el nodo de la app puede enviar solicitudes a la validación de acceso sin acceso de la API, algo que puede generar severos problemas si se ejecuta en una aplicación web vulnerable a ataques SSRF.
Si un atacante logra falsificar una solicitud POST, puede lograr la ejecución remota de código en el nodo de la aplicación a través de la API de comando en sistemas Linux. En sistemas Windows (donde se usa Kudu), los paquetes enviados desde el nodo de la aplicación al nodo administrador se descartan.
Un ataque potencial requiere que las dos fallas sean explotadas en conjunto, pues cuando los atacantes logran la ejecución de código usando la segunda falla, es posible explotar la primera también. Los actores de amenazas podrían usar ataques de phishing para explotar estas fallas.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.