Microsoft Azure SFX の深刻な脆弱性:Super FabriXss と命名された CVE-2023-23383

Researchers Detail Severe “Super FabriXss” Vulnerability in Microsoft Azure SFX

2023/03/30 TheHackerNews — Azure Service Fabric Explorer (SFX) に存在する、未認証のリモートコード実行につながる脆弱性の詳細が明らかになったが、すでにパッチが適用されたという。この脆弱性 CVE-2023-23383 (CVSS:8.2) は、2022年10月に Microsoft が修正した 脆弱性 FabriXss (CVE-2022-35829 CVSS:6.2) にちなんで、Super FabriXss という名前が ORCA Security により付けられた。

研究者である Lidor Ben Shitrit は、「脆弱性 Super FabriXss は、リモート攻撃者が XSS の欠陥を悪用し、認証を必要とせずに Service Fabric ノード上でホストされている、コンテナ上でリモートコード実行を達成するものだ」と、The Hacker News と共有したレポートで述べている。


XSS とは、クライアント・サイドのコード・インジェクション攻撃の一種であり、信頼できる Web サイトに悪意のスクリプトをアップロードすることを可能にするものだ。この悪意のスクリプトは、侵害済みの Web サイトを、被害者が訪問するたびに実行され、意図しない結果を招くことになる。

FabriXss と Super FabriXss は、どちらも XSS の脆弱性であるが、Super FabriXssはコードを実行し、影響を受けやすいシステムを制御する武器となり得るという点で、より深刻な意味を持っている。

Super FabriXss は、ユーザー・インターフェースからクラスタの各ノードに関連付けられた Events タブに存在する、反射型の XSS 欠陥である。つまり、このスクリプトはリンクに埋め込まれ、リンクがクリックされたときにのみトリガーされる。

Ben Shitrit は、「この攻撃は、Service Fabric プラットフォームの Events タブにある、Cluster Type Toggle オプションを利用したものである。この XSS の脆弱性を悪用する攻撃者は、特別に細工された URL でアップグレードをトリガーし、既存の Compose デプロイメントを上書きできる。この方法により、正規のアプリケーションを制御することで、それをプラットフォームとする新たな攻撃の開始や、機密データ/リソースへのアクセスが可能になる」と説明している。

Microsoft Azure Vulnerability


Orca によると、この脆弱性が存在するのは、Azure Service Fabric Explorer バージョン 9.1.1436.9590 以前となる。この脆弱性は、2023年3月の Microsoft Patch Tuesday の一部として対処されており、スプーフィングの脆弱性だと説明されていた。

Microsoft のアドバイザリでは、「この脆弱性は Web クライアントに存在するが、被害者のブラウザで実行された悪意のスクリプトは、リモート・クラスタで実行されるアクションへと変換される。そして、被害者となるユーザーは、攻撃者により注入/保存された XSS ペイロードをクリックすることで危険にさらされる」と記されている。

先日に NetSPI が、Azure Function Apps の特権昇格の脆弱性を明らかにし、Read Only 権限を持つユーザーによる、機密情報へのアクセスやコマンド実行が可能だと述べていた。今回の情報開示は、それを受けたものである。

また、Azure Active Directory のミスコンフィグレーションにより、Bing.com を支える CMS などの、多数アプリケーションが不正なアクセスにさらされたことも明らかになった。

クラウド・セキュリティ企業である Wiz は、この攻撃を BingBang と命名し、Bing における検索結果の変更などが可能になるとしている。また、最悪の場合では、ユーザーに対する XSS 攻撃の武器になり得ると述べている。

攻撃チェーンが、ちょっと複雑であり、翻訳時にも頭が混乱しました。この脆弱性 CVE-2023-23383 だけではなく、このところ、Azure/Active Directory といった、Microsoft のインフラに関連するトピックが増えてきているように思います。なお、文中の BingBang については、2023/03/30 の「Microsoft Cloud の脆弱性:Bing 検索のハイジャック/Office 365 のデータ流出の可能性」を、ご参照ください。

2023/03/22:AD におけるインサイダーの脅威
2023/03/10:MFA:AD との相性の悪さについて