微软Azure服务发现服务器请求伪造漏洞

关键要点

研究人员发现，四个微软Azure服务存在服务器请求伪造SSRF漏洞，这种Web安全缺陷依然流行，对云环境构成持续威胁。

根据Orca Security周二的博客帖子，受影响的服务包括Azure API管理、Azure函数、Azure机器学习和Azure数字双胞胎。其中，涉及Azure函数和Azure数字双胞胎的两个漏洞不需要进行身份验证，这意味着攻击者即使没有Azure账户也可以利用这些漏洞。

“这些发现最显著的方面无疑是我们仅通过最小的努力就能够发现的SSRF漏洞数量包括去年我们在Oracle云服务中发现的另一个SSRF漏洞，这表明它们的普遍性以及它们对云环境造成的风险。”Orca的云安全研究员Lidor Ben Shitrit在博客中写道。

事实上， SSRF攻击尤其危险，因为成功执行后攻击者可以访问或修改内部资源，还可以向外部提交数据。

此外，如果攻击者能够访问主机的IMDS云实例元数据服务，他们可能获取实例的详细信息，包括主机名、安全组、MAC地址和用户数据，这可能使攻击者能够检索令牌、移动到其他主机并执行代码，Orca的云安全研究主管Dror Zalman说。

在2019年Capital One数据泄露事件中，黑客通过利用SSRF漏洞获得了访问数据的权限，影响了约1亿美国用户及600万加拿大用户。

在Azure服务的情况下，Shitrit表示所有四个SSRF漏洞均属于非盲SSRF或完全SSRF类别，意味着攻击者可以操控服务器发出请求，并获得服务器的完整响应。通过这种方式，攻击者能够收集更多关于目标系统的信息，并可能发起进一步的攻击。

在一份声明中，微软表示他们在漏洞被报告后迅速采取了行动以解决所有四个漏洞，并将其评估为低风险，因为这些漏洞并不允许访问敏感信息或Azure后台服务。

“SSRF漏洞的影响可能因环境而异，但可能会使访问敏感的内部端点或进行端口扫描成为可能。微软已采取机制防止特权滥用，如未经授权检索令牌、横向移动或代码执行。因此，这四个漏洞没有对Azure的服务或基础设施造成重大影响，”微软安全响应中心在未署名的声明中声称。

Orca Security在其博客中称赞微软在2020年采取了若干措施以减轻SSRF攻击的影响，包括引入访问IMDS端点的要求和针对应用服务及Azure函数的身份标识头。

“通过实施这些措施，微软显著降低了SSRF攻击在其Azure平台上的潜在损害，”Shitrit在博客中写道。

除了微软的减