Menurut sebuah penelitian terbaru, ditemukan dua kerentanan keamanan dalam Microsoft Azure App Services yang memungkinkan penjahat siber untuk melakukan serangan server-side request forgery (SSRF) atau mengeksekusi kode arbitrer dan mengambil alih server.
“Ini memungkinkan penyerang untuk diam-diam mengambil alih server git App Service atau menanamkan halaman phishing berbahaya yang dapat diakses melalui Azure Portal untuk menargetkan administrator sistem,” kata perusahaan keamanan siber Intezer dalam sebuah laporan yang mereka terbitkan.
Kerentanan dalam layanan cloud Microsoft Azure ini ditemukan oleh Paul Litvak dari Intezer Labs dan sudah dilaporkan ke Microsoft pada bulan Juni 2020.
Azure App Service adalah platform berbasis komputasi cloud yang digunakan sebagai layanan web hosting untuk membuat aplikasi web dan backend mobile.
Saat App Service dibuat melalui Azure, lingkungan Docker baru dibuat dengan dua node kontainer – node manajer dan node aplikasi – bersamaan dengan mendaftarkan dua domain yang mengarah ke server web HTTP aplikasi dan halaman administrasi layanan aplikasi, yang memanfaatkan Kudu untuk deploy aplikasi berkelanjutan dari penyedia kontrol sumber seperti GitHub atau Bitbucket.
Demikian juga penerapan Azure di Linux dikelola oleh layanan yang disebut KuduLite, yang menawarkan informasi diagnostik tentang sistem dan terdiri dari antarmuka web ke SSH ke dalam node aplikasi (disebut “webssh“).
Kerentanan pertama adalah kerentanan privilege escalation yang memungkinkan pengambilalihan KuduLite melalui akun hardcode (“root: Docker!”) yang memungkinkan SSH ke dalam instance dan masuk sebagai root, sehingga memungkinkan penyerang memiliki kendali penuh atas SCM (Software Configuration Management) server web.
Menurut para peneliti, ini dapat memungkinkan penyerang untuk “mendengarkan permintaan HTTP pengguna ke halaman web SCM, menambahkan halaman, dan memasukkan Javascript berbahaya ke halaman web pengguna.”
Kerentanan keamanan kedua berkaitan dengan cara node aplikasi mengirimkan permintaan ke API KuduLite, berpotensi mengizinkan aplikasi web dengan kerentanan SSRF untuk mengakses file sistem node dan mencuri source code serta aset sensitif lainnya.
“Seorang penyerang yang berhasil memalsukan permintaan POST dapat mencapai remote code execution pada node aplikasi melalui API,” kata para peneliti.
Baca Juga: “Microsoft: Zerologon Windows Server Sedang Aktif Dieksploitasi“
Terlebih lagi, eksploitasi yang berhasil dari kerentanan kedua menyiratkan bahwa penyerang dapat menghubungkan dua masalah keamanan untuk memanfaatkan kerentanan SSRF dan meningkatkan hak akses mereka untuk mengambil alih instance server web KuduLite.
“Cloud memungkinkan pengembang untuk membangun dan menerapkan aplikasi mereka dengan kecepatan dan fleksibilitas tinggi, namun, seringkali infrastruktur rentan terhadap kerentanan di luar kendali mereka,” kata Intezer. “Dalam kasus App Service, aplikasi dihosting bersama dengan wadah administrasi tambahan, dan komponen tambahan yang dapat membawa ancaman tambahan.”
“Sebagai praktik terbaik yang umum, keamanan runtime cloud adalah garis pertahanan terakhir yang penting dan salah satu tindakan pertama yang dapat Anda lakukan untuk mengurangi risiko, karena dapat mendeteksi injeksi kode berbahaya dan ancaman dalam memori lainnya yang terjadi setelah kerentanan dieksploitasi oleh penyerang.” tambah Intezer.
