.
Uma exploração de prova de conceito foi publicada detalhando uma vulnerabilidade de falsificação no Microsoft Azure Service Fabric. A falha permite que os invasores obtenham permissões totais de administrador e executem qualquer tipo de atividade maliciosa.
O pesquisador da Orca Security, Lidor Ben Shitrit, encontrou o bug e o relatou à Microsoft, que lançou uma correção parcial para CVE-2022-35829 em seu Patch terça-feira de outubro. A vulnerabilidade recebeu uma pontuação de 6,4 CVSS.
Existem duas versões do Service Fabric Explorer. Todo o novo desenvolvimento se concentra na versão 2 (SFXv2), então a Microsoft não corrige nenhuma falha na versão mais antiga, SFXv1, a menos que seja um bug crítico. Isso significa que as versões 8.1.316 e abaixo permanecem vulneráveis à exploração.
De acordo com a Microsoft, uma versão vulnerável do Service Fabric Explorer tem a URL que termina em “old.html”.
Nas versões com suporte, o SFXv2 é carregado por padrão e não é afetado. Para garantir que você esteja executando uma versão compatível com SFXv2, verifique se a URL termina em “index.html”.
De acordo com Shitrit, a Microsoft planejava remover completamente a versão antiga e vulnerável, mas isso aparentemente não aconteceu. “O Orca não sabe ao certo por que ainda não foi removido ou quando [Microsoft] planeja fazê-lo”, disse Strong The One. “Depende da linha do tempo da Microsoft.”
Perguntamos ao gigante do software sobre isso, mas ainda não recebemos resposta.
Agora que há um POC para esta exploraçãorecomendamos verificar sua versão o mais rápido possível e atualizar para uma versão com suporte, se necessário – antes que criminosos verifiquem bugs, encontre o CVE-2022-35829 e use-o para causar estragos em seus aplicativos em nuvem.
O Azure Service Fabric é a plataforma da Microsoft para criar, implantar e gerenciar aplicativos de nuvem baseados em microsserviços distribuídos. Ele é executado em Windows e Linux e em qualquer nuvem ou em ambientes locais.
A vulnerabilidade encontrada pelo Orca afeta o Service Fabric Explorer (SFX), que é um painel compartilhado para gerenciar aplicativos de nuvem e nós em um cluster do Azure Service Fabric. Diferentes usuários têm vários níveis de acesso e permissão.
Em seu POC publicado hoje, Shitrit e o pesquisador do Orca, Roee Sagi, explicaram que a vulnerabilidade, que eles apelidaram de “FabriXss” (pronuncia-se “fabrics”), permite que um invasor obtenha permissões totais de administrador no cluster do Service Fabric.
O FabriXss pode permitir que criminosos executem uma redefinição de nó de cluster, apagando assim todas as configurações personalizadas, incluindo senhas e configurações de segurança. Em seguida, eles podem criar novas senhas e obter permissões totais de administrador.
“O tamanho da ameaça depende do número de clusters configurados nas organizações de usuários e se eles têm usuários não administradores que usam a função CreateComposeApplication para criar aplicativos e o SFXv1 vulnerável”, disse Shitrit. Strong The One.
A exploração desse bug começa com a execução de expressões via Client Side Template Injection (CSTI), explicou a equipe do Orca.
Em seguida, o invasor precisaria sair do CSTI e entrar no XSS armazenado:
Por fim, o invasor pode usar o XSS armazenado para criar uma função personalizada com privilégios de nível de administrador, redefinir um dos nós e executar a carga útil.
O Service Fabric Explorer é compartilhado e, por padrão, há dois níveis de permissão: somente leitura e administrador. No entanto, como os pesquisadores do Orca explicaram, “há uma opção para modificar as permissões do cliente somente leitura para criar um usuário personalizado que não seja um administrador, mas ainda capaz de executar tarefas específicas”.
Eles conseguiram abusar do XSS armazenado criando um usuário cliente personalizado – um usuário implantador – e, em seguida, criando um aplicativo malicioso para enviar a carga útil.
“Descobrimos que um usuário do tipo Deployer com uma única permissão para ‘Criar novos aplicativos’ por meio do painel pode usar essa permissão única para criar um nome de aplicativo malicioso e abusar das permissões de administrador para realizar várias chamadas e ações”, escreveram os pesquisadores. ®
.
