隨著企業越來越多地遷移到雲中，保護基礎架構變得前所未有的重要。

近日，根據網路安全組織東方聯盟的最新研究，Microsoft的Azure應用服務中的兩個安全漏洞可能使不良行為者能夠進行伺服器端請求偽造（SSRF）攻擊或執行任意程式碼並接管管理伺服器。

網路安全公司在今天釋出並共享的一份報告中說：“這使攻擊者能夠悄悄接管App Service的git伺服器，或植入可通過Azure門戶訪問的惡意網路釣魚頁面，以鎖定目標系統管理員。”

研究人員發現後，該漏洞已於6月份報告給Microsoft，之後公司對該漏洞進行了解決。

Azure App Service是基於雲端計算的平臺，用作構建Web應用程式和移動後端的託管Web服務。

通過Azure建立應用程式服務時，將建立一個新的Docker環境，其中包含兩個容器節點（管理器節點和應用程式節點），並註冊兩個指向應用程式的HTTP Web伺服器和應用程式服務的管理頁面的域。轉槓桿捻用於持續部署從源控制供應商，如GitHub的或到位桶的應用程式。

同樣，Linux環境上的Azure部署由稱為KuduLite的服務管理，該服務提供有關係統的診斷資訊，幷包含一個SSH到應用程式節點的Web介面（稱為“ webssh ”）。

第一個漏洞是特權升級漏洞，它允許通過硬編碼憑據（“ root：Docker！”）接管KuduLite，從而可以通過SSH進入例項並以root使用者身份登入，從而使攻擊者可以完全控制SCM（又名軟體配置管理）Web伺服器。

研究人員認為，這可以使對手“偵聽使用者對SCM網頁的HTTP請求，新增我們自己的頁面，並將惡意Javascript注入使用者的網頁”。

第二個安全漏洞涉及應用程式節點將請求傳送到KuduLite API的方式，這可能允許具有SSRF漏洞的Web應用程式訪問節點的檔案系統並竊取原始碼和其他敏感資產。

研究人員說：''設法偽造POST請求的攻擊者可以通過命令API在應用程式節點上實現遠端程式碼執行。''

而且，成功利用第二個漏洞意味著攻擊者可以將兩個問題聯絡在一起，以利用SSRF漏洞並提升他們的特權來接管KuduLite Web伺服器例項。

就其本身而言，Microsoft一直在努力改善雲和物聯網（IoT）空間中的安全性。在今年早些時候提供其以安全性為重點的物聯網平臺Azure Sphere之後，它還向研究人員開放了該服務，使其能夠進入該服務，以“在黑客面前確定高影響力漏洞”。

知名白帽黑客、東方聯盟創始人郭盛華表示：“雲使開發人員能夠快速，靈活地構建和部署應用程式，但是，基礎架構經常容易受到其控制之外的漏洞的影響。對於App Services，應用程式與其他管理容器共同託管，並且其他元件可能帶來其他威脅。作為一般的最佳實踐，執行時雲安全性是重要的最後一道防線，也是可以降低風險的第一批措施之一，因為它可以檢測到惡意軟體注入和漏洞發生後發生的其他記憶體中威脅，被攻擊者利用。” （歡迎轉載分享）