Researchers Detail 8 Vulnerabilities in Azure HDInsight Analytics Service
2023/09/13 TheHackerNews −−− Microsoft Azure HDInsight のオープンソース解析サービスに存在する、クロス・サイト・スクリプティング (XSS) の脆弱性の詳細が明らかになった。それを悪用する脅威アクターにより、武器化される可能性があるが、すでにパッチが提供されている。Orca のセキュリティ研究者である Lidor Ben Shitrit は、「特定された脆弱性は、6つの Stored XSS と、2つの Reflected XSS の脆弱性で構成されている。これらの脆弱性を悪用することで、不正データ・アクセスから、セッションの乗っ取り、悪意のペイロードの配信にいたるまでの、さまざまな攻撃が実行される可能性が生じる」と、The Hacker News と共有したレポートの中で述べている。
これらの脆弱性は、2023年8月の Patch Tuesday の一部として、Microsoft により対処されている。
先日にも、Azure Bastion と Azure Container Registry で同様の欠陥が報告され、不正なデータ・アクセスや改ざんに悪用される可能性あるとされていた。それから3カ月後に、今回の情報が公開された。
欠陥のリストは以下の通りである。
- CVE-2023-35393 (CVSS:4.5) – Azure Apache Hive スプーフィング脆弱性
- CVE-2023-35394 (CVSS:4.6) – Azure HDInsight Jupyter Notebook スプーフィング脆弱性
- CVE-2023-36877 (CVSS:4.5) – Azure Apache Oozie スプーフィング脆弱性
- CVE-2023-36881 (CVSS:4.5) – Azure Apache Ambari スプーフィング脆弱性
- CVE-2023-38188 (CVSS:4.5) – Azure Apache Hadoop スプーフィング脆弱性
Microsoft のアドバイザリには、「攻撃の前提として、被害者に実行させる悪意のファイルを送信する必要がある。ゲスト権限を持つ正規の攻撃者は、被害者を悪意のサイトへと誘導し、それを開くよう説得する必要がある」と記されている。
XSS 攻撃が発生するのは、敵対者が正規の Web サイト上に不正スクリプトを注入し、そのサイトを訪れた被害者の Web ブラウザ上で、不正スクリプトが実行されるときである。
反射型 XSS が、騙されて不正なリンクをクリックしたユーザーを標的にするのに対して、蓄積型 XSS は Web ページに埋め込まれ、そのページにアクセスする全てのユーザーに影響を与える。
Orca の指摘は、ダッシュボードをロードする際に、適切な入力サニタイズが欠如していることに、すべての脆弱性は起因するというものだ。つまり、それにより、悪意の文字のレンダリングが可能になる。
Orca の Ben Shitrit は、「これらの脆弱性により、入力されたデータが取得/保存され、ユーザーに表示される際に、悪意のスクリプトが攻撃者により注入され、実行される。ユーザーが生成したデータが Web ページに表示される前に、適切にサニタイズされていることを確認するために、適切な入力検証と出力エンコードを実装するよう、ユーザー組織に求めている」と述べている。
Microsoft Azure に XSS の脆弱性です。お隣のキュレーション・チームに聞いてみたところ、いずれの脆弱性も、8月9日にレポートしているとのことでした。似たような記事としては、2023/06/15 の「Azure における XSS の脆弱性:ユーザー・セッションに対する未認証のアクセスが生じていた」がありました。よろしければ、Azure で検索も、ご利用ください。
You must be logged in to post a comment.