XSS Vulnerabilities in Azure Led to Unauthorized Access to User Sessions
2023/06/15 SecurityWeek — Azure Bastion と Azure Container Registry (ACR) に存在する2つの XSS (cross-site scripting) の脆弱性により、ユーザー・セッションへの不正アクセスおよび、データの改ざん、サービスの中断につながる可能性があったと、クラウド・セキュリティ企業 Orca が警告している。この問題は、2023年4月/5月で解決されたが、具体的に言うと、postMessage iframe の欠陥に起因するものであり、攻撃者による iframe タグを介したリモートサーバ内へのエンドポイントの埋め込むみが可能になり、悪意の JavaScript コードを実行できるものだったという。
ローカルマシンと Azure VM の間に RDP/SSH セッションを作成して、仮想マシンへのアクセスを提供するハード化ゲートウェイとして機能する Azure Bastion において、この脆弱性 が Azure Network Watcher 接続トラブルシューター内に存在していた。
この、検証チェックの不適切な実装という脆弱性を悪用する攻撃者は、HTML ページを作成し、被害者のブラウザでレンダリングすると、コード実行を可能にしてしまう。Orca によると、この脆弱性により複数のセキュリティ上の欠陥が生じ、被害者を装う攻撃者は、悪意の SVG ペイロード実行の自動化も可能だった。
Azure Container Registry のケースでは、この脆弱性は ACR の Azure Portal エクステンションの一部である、未使用の Web ページ内の HTML コードスニペットに存在していた。Orca のテストより、コードインジェクション可能にする HTML ファイルが特定された。
マネージド・クラウド・サービスである Azure Container Registry は、ユーザーによるコンテナ・イメージの一元的な配置/管理/保存を可能にするものだ。
Orca は、ポータルのメインページに、HTML ファイルを用いて postMessages と通信する iframe が含まれていることを発見した。そして、この通信方法は、オリジン・チェックが欠落しているため、悪用される可能性があることを指摘している。
Orca は、4月に Azure Bastion の XSS を、5月には Azure Container Registry の XSS を、Microsoftに報告している。この2つの問題が Microsoft で再現できたことで、解決へといたった。
Microsoft は、「Azure Bastion については、オリジン・チェックを誤って実行していた、Network Watcher ファイルを更新して、脆弱なコードを削除した。Azure Container Registry については、脆弱な HTML ページがレガシー・コードで書かれており、現在の Azure Portal では実際に使用されていないと判断した。したがって、ACR エンジニアリング・チームにより脆弱なファイルは削除された」と説明している。
Orca が提供した PoC エクスプロイト。コード以外において、これらの脆弱性が攻撃に悪用されたという証拠はないと、Microsoft は述べている。
これらの脆弱性が攻撃に悪用されたという証拠はないということで、まずは良かったですね。Orca というセキュリティ会社ですが、よく名前を見ますし、Azure 絡みが多いように思えたので、探してみたら、以下のような記事が見つかりました。よろしければ、Azure で検索も、ご利用ください。
2023/04/11:Azure:侵害された Shared Key 認証による被害とは?
2023/03/30:Azure SFX の深刻な脆弱性:Super FabriXss と命名
2023/01/17:Azure の4つの SSRF 脆弱性:不正アクセスの可能性
IoT OT Security News 
You must be logged in to post a comment.