បញ្ហានៅក្នុងសេវា Microsoft Azure អាចត្រូវកេងប្រវ័ញ្ច និងប៉ះពាល់ដល់ធនធានក្លោដ

0

សេវា Microsoft Azure ត្រូវរកឃើញថាមានបញ្ហាក្លែងបន្លំសំណើពីខាងម៉ាស៊ីនមេ (SSRF) ដែលអាចត្រូវកេងប្រវ័ញ្ចដើម្បីបង្កើនសិទ្ធិទៅដំណើរការដល់ធនធានក្លោដ (cloud resource)។ បញ្ហាផ្នែកសុវត្ថិភាពចំនួន៤ ត្រូវរកឃើញដោយ Orca នៅចន្លោះខែតុលា និងខែធ្នូ ឆ្នាំ២០២២ នៅក្នុង Azure API Management, Azure Functions, Azure Machine Learning និង Azure Digital Twins បើយោងតាមការបញ្ជាក់ពីក្រុមហ៊ុន Microsoft។ អ្នកស្រាវជ្រាវនៅ Orca ថ្លែងថា បញ្ហា Azure SSRF ត្រូវរកឃើញថាអនុញ្ញាតឱ្យហេគឃ័រស្គេន local ports, ស្វែងរកសេវាថ្មី, endpoints និងឯកសារសំខាន់ៗ ពីម៉ាស៊ីនមេ និងទីតាំងរក្សាព័ត៌មានសម្ងាត់របស់គោលដៅ។ 

បញ្ហាចំនួន២ ដែលកំពុងតែប៉ះពាល់ដល់ Azure Functions និង Azure Digital Twins អាចត្រូវលួចប្រើប្រាស់ដោយមិនត្រូវការការផ្ទៀងផ្ទាត់ឡើយ ហើយផ្តល់ឱកាសឱ្យហេគឃ័រអាចគ្រប់គ្រងលើម៉ាស៊ីនមេដោយមិនចាំបាច់មានគណនី Azure។ ការវាយប្រហារ SSRF អាចជាគ្រោះថ្នាក់ដ៏ធ្ងន់ធ្ងរ ដោយសារតែវាបើកឱ្យហេគឃ័រអាចអាន និងធ្វើបច្ចុប្បន្នភាពធនធានខាងក្នុង ហើយកាន់តែអាក្រក់ជាងនេះទៀតនោះគឺវាបង្វែរទៅរំលោភលើបណ្តាញ (network) ផ្សេងទៀតនៃប្រព័ន្ធដែលមិនអាចទៅដល់ ដើម្បីទាញយកទិន្នន័យសំខាន់ៗ។

សារជាថ្មីម្តងទៀត បញ្ហាសំខាន់ៗចំនួន៤ មានដូចខាងក្រោម៖

១. គ្មានការផ្ទៀងផ្ទាត់ SSRF នៅលើ Azure Digital Twins Explorer តាមរយៈនៅក្នុង /proxy/blob endpoint ដែលអាចកេងប្រវ័ញ្ច ដើម្បីទទួលការឆ្លើយតបពីសេវាណាមួយដែលភ្ជាប់ជាមួយ “blob.core.windows[.]net”។

២. គ្មានការផ្ទៀងផ្ទាត់ SSRF នៅលើ Azure Functions ដែលអាចត្រូវកេងប្រវ័ញ្ចរាប់បញ្ចូលទាំង local ports និង ដំណើរការ internal endpoints។

៣. គ្មានការផ្ទៀងផ្ទាត់ SSRF នៅលើ Azure API Management service អាចត្រូវកេងប្រវ័ញ្ចដើម្បីរាយបញ្ជី internal ports រួមទាំងពាក់ព័ន្ធនឹងសេវាគ្រប់គ្រងប្រភពកូដ (source code management service) ដែលអាចត្រូវប្រើដើម្បីទាញយកឯកសារសំខាន់ៗ។

៤. គ្មានការផ្ទៀងផ្ទាត់ SSRF នៅលើ Azure Machine Learning service តាមរយៈ /datacall/streamcontent enpoint ដែលអាចត្រូវកេងប្រវ័ញ្ចដើម្បីទាញយក content ពី endpoints តាមអំពើចិត្ត។

ដើម្បីកាត់បន្ថយការគំរាមកំហែង អង្គភាពត្រូវណែនាំឱ្យធ្វើឱ្យមានសុពលភាពរាល់ការបញ្ចូល ដើម្បីធានាថាម៉ាស៊ីនមេត្រូវកំណត់រចនាសម្ព័ន្ធ (configured) អនុញ្ញាតឱ្យតែមានចរាចរណ៍នៅក្នុង និងក្រៅប្រទេសដែលចាំបាច់, ជៀសវាងការកំណត់រចនាសម្ព័ន្ធខុស និងប្រកាន់ខ្ជាប់នូវគោលការណ៍សិទ្ធិតិចតួចបំផុត (PoLP)។ អ្នកស្រាវជ្រាវនៅ Orca បន្ថែមថា ការរកឃើញនៃភាពងាយរងគ្រោះរបស់ SSRF ទាំងនេះគឺជាទិដ្ឋភាពគួរឱ្យកត់សម្គាល់ ក៏ដូចជាការបង្ហាញពីហានិភ័យនៅក្នុងក្លោដផងដែរ៕

ប្រែសម្រួលដោយ៖ កញ្ញា

LEAVE A REPLY

Please enter your comment!
Please enter your name here