New Microsoft Azure Vulnerability Uncovered — EmojiDeploy for RCE Attacks
2023/01/19 TheHackerNews — Microsoft Azure に関連する複数のサービスに影響を及ぼす、新規かつ深刻なリモートコード実行 (RCE) の脆弱性が発見された。この脆弱性の悪用に成功した攻撃者により、ターゲット・アプリケーションの完全な制御が可能になるようだ。Ermetic の研究者である Liv Matan は、The Hacker News と共有したレポートの中で、「ユビキタス SCM サービスである Kudu に、CRFS (Cross Site Request Forgery) の脆弱性が存在する。この脆弱性の悪用に成功した攻撃者は、ペイロードを含む悪意の ZIP ファイルを、被害者の Azure アプリケーションに展開できる」と述べている。
この脆弱性を EmojiDeploy と名付けた Ermetic は、さらなる悪用の展開として、機密データの窃盗や、他の Azure サービスへの横移動が生じる可能性もあると述べている。
2022年10月26日に情報開示を受けた Microsoft は、Ermetic に対して $30,000 のバグバウンティを提供した後に、この脆弱性を 12月6日付で修正した。
Microsoft は Kudu について、「ソースコントロール・ベースのデプロイメントに関連する Azure App Service などの機能や、Dropbox/OneDrive との同期といった、各種のデプロイメント方式を支えるエンジンだ」と説明している。
Ermetic が考案した攻撃チェーン・シナリオは、Kudu SCM パネルの CSRF 脆弱性を悪用する敵対者が、”/api/zipdeploy” エンドポイントへ向けて特別に細工したリクエストを発行して、悪意のアーカイブ (Web シェルなど) を配信した後に、リモート・アクセスを得ることで、クロスオリジン攻撃阻止のセーフガードを破ることができるというものだ。
CRFS (Cross Site Request Forgery) は、sea surf や session riding とも呼ばれ、Web アプリケーションの認証済みユーザーを騙した脅威アクターが、不正なコマンドを実行させる攻撃手段である。
HTTP リクエストのボディにエンコードされる ZIP ファイルは、サーバの Same-Origin Policy をバイパスした後に、マルウェアをホストする脅威アクターのドメインへとナビゲートするよう、被害者であるアプリケーションに促す。
Ermetic は、「この脆弱性が組織に与える影響は、管理されているアプリケーション ID の権限に依存する。したがって、最小特権の原則を効果的に適用することで、爆発半径を大幅に制限できる」と述べている。
この脆弱性を発見した Ermetic は、EmojiDeploy と名付けたようですが、この記事を訳した限りでは、その意味が分かりませんでした。そこで、Ermetic のレポート内を検索してみたら、「The special character in this payload is a “.” followed by “_”. ・・・ Funny enough, it looks like an emoji ._. and it turns out that it was missing an “eye” for the exploit to work!」という説明がありました。なお、先日には Orca Security が、Azure API Management/Azure Functions/Azure Machine Learning/Azure Digital Twins に影響を及ぼす、4件の SSRF (Server Side Request Forgery の脆弱性と、攻撃の事例を明らかにしています。
IoT OT Security News 
You must be logged in to post a comment.