รายงานการเปิดเผยข้อมูล sensitive data และอุปกรณ์ภายใน ผ่านช่องโหว่ Azure Service SSRF


30 January 2566
รายงานการเปิดเผยข้อมูล sensitive data และอุปกรณ์ภายใน ผ่านช่องโหว่ Azure Service SSRF

บริษัทด้านความปลอดภัย Orca รายงานเกี่ยวกับช่องโหว่ SSRF เป็นการ การปลอมแปลง request ฝั่งเซิร์ฟเวอร์ ซึ่งมีผลกระทบต่อ Azure service ต่างๆ รวมถึง bug 2 ตัวซึ่งอาจเป็นการหาผลประโยชน์โดยไม่ผ่านการยืนยันตัวตน Orca ได้อธิบายเกี่ยวกับ SSRF ว่า เป็นการอนุญาตให้ผู้โจมตีสามารถเข้าถึง Host’s IMDS (Cloud Instance Metadata Service) ซึ่งสามารถเห็นข้อมูลเช่น hostname, MAC address, และ security groups. นอกจากนี้ ยังมีผลกระทบต่อความปลอดภัย ซึ่งอาจจะทำให้ถูกใช้ประโยชน์เพื่อ ดึง tokens ,  execute code remote, และ ส่งต่อไปยัง host อื่น ผลกระทบต่อ Azure Functions และ Azure Digital Twins เนื่องจากทั้ง 2 ไม่มีการยืนยันตัวตน  อาจจะเป็นช่องโหว่ในการถูกคุกคามได้ อีกสองปัญหาด้านความปลอดภัยที่พบใน Azure API Management และ Azure Machine Learning ต้องการการยืนยันความถูกต้อง เพื่อใช้ประโยชน์ได้สำเร็จ ช่องโหว่ทั้งสี่นี้เป็นปัญหา SSRF  ทำให้ผู้โจมตีสามารถดึงข้อมูลคำขอและดึง output กลับมาได้ นักวิจัยของ Orca กล่าว โดยทั่วไปแล้วข้อบกพร่องดังกล่าวสามารถใช้ประโยชน์ได้ผ่านทาง XXE (XML external entity), ไฟล์ SVG, Proxy, การแสดงผล PDF, สตริงข้อความค้นหาที่มีช่องโหว่ใน URL และอื่นๆ

ปัญหาอาจถูกนำไปใช้ในการขอ URL ใด ๆ  โดยใช้เซิร์ฟเวอร์ในทางที่ผิด แต่การบรรเทาปัญหาต่าง ๆ ที่ Microsoft นำมาใช้ทำให้นักวิจัยไม่สามารถใช้ประโยชน์จากจุดบกพร่องที่ระบุใหม่เพื่อเข้าถึง IMDS Endpoints ข้อบกพร่องที่ไม่ผ่านการรับรองความถูกต้องในบริการ Azure Digital Twins Explorer เกิดจากข้อผิดพลาดในการตรวจสอบ user input ในขณะที่ปัญหาที่ส่งผลกระทบต่อบริการ Azure Functions นั้นอยู่ในฟังก์ชันที่ใช้ NodeJS ช่องโหว่ที่รับรองความถูกต้องในการจัดการ Azure API ทำให้นักวิจัยสามารถระบุพอร์ตที่เปิดอยู่ทั้งหมดบนเซิร์ฟเวอร์ที่มีช่องโหว่ ตรวจสอบพอร์ตทั้งหมด และดึง Sensitive data ได้มากขึ้น รวมถึงเวอร์ชันไคลเอนต์ Git รายการอ้างอิงที่ว่างเปล่า และความสามารถ git-scm Orca กล่าวว่าข้อบกพร่องของบริการ Azure Machine Learning ทำให้นักวิจัยสามารถดึงข้อมูล endpoint Orca รายงานช่องโหว่ดังกล่าวให้ Microsoft ระหว่างเดือนตุลาคมถึงธันวาคม 2022 แพตช์ถูกปล่อยออกมาไม่นานหลังจากรายงานแต่ละครั้ง โดยช่องโหว่ล่าสุดได้รับการแก้ไขเมื่อวันที่ 20 ธันวาคม อัพเดต: Microsoft ได้เผยแพร่บล็อกโพสต์ของตนเอง โดยชี้แจงว่าช่องโหว่ดังกล่าว “มีความเสี่ยงต่ำ ไม่อนุญาตให้เข้าถึงsensitive data หรือ Azure backend services”