รายงานการเปิดเผยข้อมูล sensitive data และอุปกรณ์ภายใน ผ่านช่องโหว่ Azure Service SSRF
บริษัทด้านความปลอดภัย Orca รายงานเกี่ยวกับช่องโหว่ SSRF เป็นการ การปลอมแปลง request ฝั่งเซิร์ฟเวอร์ ซึ่งมีผลกระทบต่อ Azure service ต่างๆ รวมถึง bug 2 ตัวซึ่งอาจเป็นการหาผลประโยชน์โดยไม่ผ่านการยืนยันตัวตน Orca ได้อธิบายเกี่ยวกับ SSRF ว่า เป็นการอนุญาตให้ผู้โจมตีสามารถเข้าถึง Host’s IMDS (Cloud Instance Metadata Service) ซึ่งสามารถเห็นข้อมูลเช่น hostname, MAC address, และ security groups. นอกจากนี้ ยังมีผลกระทบต่อความปลอดภัย ซึ่งอาจจะทำให้ถูกใช้ประโยชน์เพื่อ ดึง tokens , execute code remote, และ ส่งต่อไปยัง host อื่น ผลกระทบต่อ Azure Functions และ Azure Digital Twins เนื่องจากทั้ง 2 ไม่มีการยืนยันตัวตน อาจจะเป็นช่องโหว่ในการถูกคุกคามได้ อีกสองปัญหาด้านความปลอดภัยที่พบใน Azure API Management และ Azure Machine Learning ต้องการการยืนยันความถูกต้อง เพื่อใช้ประโยชน์ได้สำเร็จ ช่องโหว่ทั้งสี่นี้เป็นปัญหา SSRF ทำให้ผู้โจมตีสามารถดึงข้อมูลคำขอและดึง output กลับมาได้ นักวิจัยของ Orca กล่าว โดยทั่วไปแล้วข้อบกพร่องดังกล่าวสามารถใช้ประโยชน์ได้ผ่านทาง XXE (XML external entity), ไฟล์ SVG, Proxy, การแสดงผล PDF, สตริงข้อความค้นหาที่มีช่องโหว่ใน URL และอื่นๆ
ปัญหาอาจถูกนำไปใช้ในการขอ URL ใด ๆ โดยใช้เซิร์ฟเวอร์ในทางที่ผิด แต่การบรรเทาปัญหาต่าง ๆ ที่ Microsoft นำมาใช้ทำให้นักวิจัยไม่สามารถใช้ประโยชน์จากจุดบกพร่องที่ระบุใหม่เพื่อเข้าถึง IMDS Endpoints ข้อบกพร่องที่ไม่ผ่านการรับรองความถูกต้องในบริการ Azure Digital Twins Explorer เกิดจากข้อผิดพลาดในการตรวจสอบ user input ในขณะที่ปัญหาที่ส่งผลกระทบต่อบริการ Azure Functions นั้นอยู่ในฟังก์ชันที่ใช้ NodeJS ช่องโหว่ที่รับรองความถูกต้องในการจัดการ Azure API ทำให้นักวิจัยสามารถระบุพอร์ตที่เปิดอยู่ทั้งหมดบนเซิร์ฟเวอร์ที่มีช่องโหว่ ตรวจสอบพอร์ตทั้งหมด และดึง Sensitive data ได้มากขึ้น รวมถึงเวอร์ชันไคลเอนต์ Git รายการอ้างอิงที่ว่างเปล่า และความสามารถ git-scm Orca กล่าวว่าข้อบกพร่องของบริการ Azure Machine Learning ทำให้นักวิจัยสามารถดึงข้อมูล endpoint Orca รายงานช่องโหว่ดังกล่าวให้ Microsoft ระหว่างเดือนตุลาคมถึงธันวาคม 2022 แพตช์ถูกปล่อยออกมาไม่นานหลังจากรายงานแต่ละครั้ง โดยช่องโหว่ล่าสุดได้รับการแก้ไขเมื่อวันที่ 20 ธันวาคม อัพเดต: Microsoft ได้เผยแพร่บล็อกโพสต์ของตนเอง โดยชี้แจงว่าช่องโหว่ดังกล่าว “มีความเสี่ยงต่ำ ไม่อนุญาตให้เข้าถึงsensitive data หรือ Azure backend services”