Orca una empresa que se especializa en seguridad en la nube ha revelado información sobre cuatro vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF) que afectan a varios servicios de Azure. Dos de estas vulnerabilidades podrían haberse aprovechado sin necesidad de autenticación.
Pudieron atacar dos vulnerabilidades sin necesidad de autenticación en el servicio (Azure Functions y Azure Digital Twins). Esto les dio la posibilidad de realizar solicitudes en nombre del servidor, aunque no poseía una cuenta de Azure.
Las vulnerabilidades en Azure SSRF que se descubrieron permitieron a un atacante escanear puertos locales, encontrar nuevos servicios, puntos finales y archivos. Esto proporcionó información valiosa sobre servidores y servicios potencialmente vulnerables para explotar para la entrada inicial así como la ubicación de la información que podría ser objetivo.
Las vulnerabilidades SSRF son particularmente peligrosas debido al hecho de que si los atacantes pueden acceder al IMDS (Servicio de metadatos de instancias en la nube) del host, esto expone información detallada sobre las instancias. Esta información incluye el nombre de host el grupo de seguridad, la dirección MAC y los datos del usuario, y podría permitir a los atacantes recuperar tokens, moverse a otro host y ejecutar código (RCE).
Una falsificación de solicitud del lado del servidor también conocida como SSRF, es una vulnerabilidad de seguridad web que permite a un atacante abusar de una aplicación del lado del servidor al realizar solicitudes para leer o actualizar recursos internos, así como enviar datos a fuentes externas. Este tipo de vulnerabilidad se conoce como falsificación de solicitud del lado del servidor.
Los ataques de falsificación de solicitudes del lado del servidor (SSRF) a menudo se incluyen en una de estas tres categorías:
Blind SSRF es una especie de ataque SSRF que tiene lugar cuando un atacante puede influir en un servidor para que realice solicitudes pero el atacante no obtiene la respuesta que el servidor le devuelve. Debido a esto determinar si el ataque fue efectivo o no es mucho más difícil.
Semi-Blind SSRF es una forma de ataque SSRF que es muy similar a Blind SSRF. La única diferencia es que el atacante puede ver parte de la respuesta del servidor como los encabezados de respuesta o el código de estado. Esto puede proporcionar al atacante la capacidad de obtener información limitada sobre el sistema que está atacando.
Non-Blind SSRF también conocido como Full SSRF es un subtipo de ataque SSRF que tiene lugar cuando un atacante tiene la capacidad de controlar un servidor para enviar solicitudes y obtener la respuesta completa del servidor. Esto le da al atacante la capacidad de aprender más sobre el sistema al que está apuntando y le da la oportunidad de quizás realizar otros ataques.
Las cuatro vulnerabilidades de SSRF que encontramos pertenecen a la tercera categoría, que se conoce como SSRF completo (a veces denominado SSRF no ciego). Para darle una idea de la facilidad con la que se pueden explotar estas vulnerabilidades, las vulnerabilidades de SSRF no ciegas se pueden aprovechar de varias maneras diferentes, como SSRF a través de XXE, SSRF a través de un archivo SVG, SSRF a través de Proxy, SSRF a través de PDF Rendering, SSRF a través de una cadena de consulta vulnerable en la URL, y muchos más. Estas son solo algunas de las formas en que se pueden explotar estas vulnerabilidades.
Es esencial tener en cuenta que todas y cada una de las vulnerabilidades de SSRF pueden explotarse para obtener acceso no autorizado a información confidencial o para lanzar más ataques contra un objetivo. Este es el caso independientemente del tipo de ataque SSRF que se esté implementando. Por esta razón es fundamental que las empresas tomen las precauciones necesarias para proteger sus servidores y redes contra los tipos de ataques descritos anteriormente.
No lograron obtener acceso a ninguno de los puntos finales de IMDS porque Microsoft había implementado una variedad de defensas SSRF, una de las cuales era la variable de entorno conocida como X-IDENTITY-HEADER. Sin embargo, incluso en el caso de que un atacante no pudiera acceder a los servicios de IMDS aún existía una cantidad significativa de daño potencial que podría causar, como se discutió anteriormente.
Después de llamar la atención de Microsoft sobre las vulnerabilidades de seguridad la empresa se movió rápidamente para solucionarlas.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.