本文为译文,原文地址:https://www.bleepingcomputer.com/news/security/microsoft-azure-sfx-bug-let-hackers-hijack-service-fabric-clusters/
攻击者可以利用Service Fabric Explorer中现已修补的欺骗漏洞,获得管理权限并劫持Azure Service Fabric集群。
Service Fabric是一个关键业务应用的平台,承载着100多万个应用,并为许多微软产品提供动力,包括但不限于Microsoft Intune、Dynamics 365、Skype for Business、Cortana、Microsoft Power BI以及多个核心Azure服务。
Service Fabric Explorer(SFX)是一个开源工具,可以作为托管解决方案或桌面应用程序使用,允许Azure管理员管理和检查Azure Service Fabric集群中的节点和云应用程序。
Orca Security发现了一个被称为FabriXss的SFX欺骗漏洞(CVE-2022-35829),它可以使潜在的攻击者获得完整的管理员权限并接管Service Fabric集群。
"我们发现,一个部署者类型的用户拥有通过仪表板'创建新应用程序'的单一权限,可以使用这个单一权限来创建一个恶意的应用程序名称,并滥用管理员权限来执行各种调用和操作,"Orca Security解释说。
"这包括执行集群节点重置,这将删除所有定制的设置,如密码和安全配置,允许攻击者创建新的密码并获得完整的管理员权限。"
没有在野利用
Orca Security于8月11日向微软安全响应中心(MSRC)报告了该漏洞,微软在10月11日的本月补丁星期二期间发布了安全更新,以解决该漏洞。
在Orca Security的博客文章中,有一个FabriXss的概念证明,以及其他技术细节。
视频地址:https://huoxian-community.oss-cn-beijing.aliyuncs.com/2022-11-03/1667460846-418618-f84503a4b08e44d4f72221e4996d927141a21827.mp4
微软表示,FabriXss漏洞只能用于针对旧的、不支持的Service Fabric Explorer(SFXv1)版本的攻击,目前默认的SFX网络客户端(SFXv2)不存在攻击漏洞。
"然而,客户可以手动从默认的网络客户端(SFXv2)切换到较早的有漏洞的SFX网络客户端版本(SFXv1),"微软说。
"这个问题需要攻击者在Service Fabric集群中已经拥有代码部署和执行权限,并且目标使用有漏洞的Web客户端(SFXv1)。"
虽然Redmond没有发现FabriXss在攻击中被滥用的证据,但它建议所有Service Fabric客户升级到最新的SFX版本,不要切换到有漏洞的SFXv1网络客户端版本。
据微软称,即将发布的Service Fabric版本也将删除SFXv1和切换到它的选项。
6月,微软还修复了一个被称为FabricScape的Service Fabric容器逃逸漏洞,该漏洞允许威胁者将权限升级为root并获得对主机节点的控制,从而危及整个SF Linux集群。