Microsoft อยู่ภายใต้การตรวจสอบข้อเท็จจริงแล้ว สำหรับแนวทางปฏิบัติด้านความปลอดภัยบนคลาวด์ เพิ่งได้แก้ไขช่องโหว่ร้ายแรงมากถึงแปดจุดในบริการ Apache ต่างๆ ใน ​​Azure HDInsight ซึ่งเป็นบริการวิเคราะห์ข้อมูลขนาดใหญ่ที่ได้รับการจัดการของยักษ์ใหญ่ซอฟต์แวร์ 

นักวิจัยจาก Orca Security ผู้ค้นพบข้อบกพร่องกล่าวว่าความพยายามเพียงเล็กน้อยในการค้นหาข้อบกพร่องทำให้เกิดคำถามเกี่ยวกับความปลอดภัยโดยรวมของบริการ

ช่องโหว่ที่ค้นพบทั้งหมดคือปัญหาการเขียนสคริปต์ข้ามไซต์ (XSS) ซึ่งก่อให้เกิดความเสี่ยงที่สำคัญต่อข้อมูลและความเป็นส่วนตัวของผู้ใช้ ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่เพื่อแย่งชิงเซสชันเว็บและทำให้ข้อมูลผู้ใช้ตกอยู่ในความเสี่ยง ผู้จำหน่ายระบบรักษาความปลอดภัยกล่าว 

“ด้วยช่องโหว่ XSS เหล่านี้ ผู้โจมตีอาจส่งเพย์โหลดที่เป็นอันตรายไปยังผู้ใช้ที่ไม่สงสัยของบริการ Apache ที่เกี่ยวข้อง เช่น Hadoop, Spark และ Oozie” Lidor Ben Shitrit นักวิจัยความปลอดภัยบนคลาวด์ที่ Orca Security กล่าว

Microsoft ได้แก้ไขข้อบกพร่องใน การอัปเดตความปลอดภัยรายเดือนเดือนสิงหาคม. อย่างไรก็ตาม องค์กรยังคงต้องอัปเดตอินสแตนซ์ Azure HDInsight เพื่อใช้การแก้ไข “HDInsight ไม่รองรับการอัพเกรดแบบแทนที่ ดังนั้นผู้ใช้จะต้องสร้างคลัสเตอร์ใหม่ด้วยส่วนประกอบที่ต้องการและเวอร์ชันแพลตฟอร์มล่าสุดที่มีการอัปเดตความปลอดภัย” เบ็น ชิตริต พูดว่า. จากนั้น พวกเขาจะต้องย้ายแอปพลิเคชันของตนเพื่อใช้คลัสเตอร์ใหม่”

Azure HDInsight คือ A บริการวิเคราะห์โอเพ่นซอร์สแบบคลาวด์เนทีฟที่มีการจัดการเต็มรูปแบบ ที่องค์กรใช้จัดการคลัสเตอร์สำหรับ Hadoop, Apache Spark, Apache Kafka และเฟรมเวิร์กอื่นๆ ในสภาพแวดล้อม Azure เทคโนโลยีนี้ช่วยให้องค์กรต่างๆ ปรับขนาดปริมาณงานบิ๊กดาต้าขึ้นหรือลงได้ตามต้องการ และสร้างคลัสเตอร์ตามความต้องการ นอกจากนี้ยังทำงานร่วมกับคุณลักษณะการบันทึก Azure Monitor เพื่อให้ผู้ดูแลระบบสามารถตรวจสอบคลัสเตอร์ของตนผ่านอินเทอร์เฟซเดียว

ข้อบกพร่อง XSS ที่จัดเก็บและสะท้อนกลับ

ช่องโหว่ XSS หกช่องโหว่นั้น ออร์ก้าค้นพบ ในบริการต่างๆ ของ Apache บน Azure HDInsight เรียกว่าข้อบกพร่อง XSS ที่เก็บไว้ และอีกสองรายการสะท้อนถึงช่องโหว่ XSS การเขียนสคริปต์ข้ามไซต์ โดยทั่วไปข้อบกพร่องจะเกิดขึ้นเมื่อเว็บแอปพลิเคชันหรือไซต์ยอมรับการป้อนข้อมูลของผู้ใช้ เช่น ความคิดเห็น จากนั้นจึงแสดงข้อมูลดังกล่าวบนหน้าเว็บโดยไม่ได้ตรวจสอบความถูกต้องหรือทำให้ข้อมูลสะอาดก่อน ข้อบกพร่องดังกล่าวทำให้ผู้โจมตีมีโอกาสแทรกโค้ดที่เป็นอันตรายลงในเว็บไซต์ จากนั้นจะถูกเรียกใช้งานในเบราว์เซอร์ของเหยื่อเมื่อพวกเขาเยี่ยมชมไซต์ดังกล่าว

ด้วยข้อบกพร่อง XSS ที่เก็บไว้ สคริปต์ที่เป็นอันตรายจะถูกจัดเก็บอย่างถาวรบนเว็บเซิร์ฟเวอร์เป้าหมาย และดำเนินการทุกครั้งที่ผู้ใช้เยี่ยมชมเพจ ในทางกลับกัน ข้อบกพร่อง XSS ที่สะท้อนให้เห็น จะทำให้ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายลงใน URL ของไซต์ที่จะดำเนินการทันทีเมื่อผู้ใช้คลิกลิงก์ไปยัง URL นั้น ข้อบกพร่อง XSS ถูกพบอย่างต่อเนื่องในรายการช่องโหว่ทั่วไปของ Open Web Application Security Project (OWASP) มานานหลายปี

Ben Shitrit กล่าวว่าข้อบกพร่อง XSS แรกที่ Orca ค้นพบใน Azure HDInsight อยู่ในเทคโนโลยีการจัดการคลัสเตอร์ Hadoop ที่เรียกว่า Apache Ambari นักวิจัยของ Orca ค้นพบว่าเป็นพารามิเตอร์เริ่มต้นหลายตัวในเทคโนโลยีที่สามารถแก้ไขได้ในลักษณะที่ค่อนข้างตรงไปตรงมา ด้วยความประหลาดใจที่มันง่ายขนาดนี้ พวกเขาจึงมองไปรอบๆ เพื่อดูว่าจะหาได้อีกหรือไม่

Azure Bugs หาง่าย

“โดยสรุป ช่องโหว่ XSS แรกที่เราพบใน Apache Ambari Background Operations นั้นเรียบง่ายอย่างน่าประหลาดใจ” Ben Shitrit กล่าว “ด้วยความรู้นี้ เรารู้ว่าถ้าเราขุดลึกกว่านี้ เราก็อาจจะพบมากกว่านี้ ซึ่งก็คือวิธีที่เราค้นพบเพิ่มอีกเจ็ดแห่ง” ความจริงที่ว่า Orca สามารถค้นพบช่องโหว่ XSS แปดช่องโหว่ใน Azure HDInsight ผ่าน Apache Services ได้ในเวลาไม่กี่วันทำให้เกิดคำถามเกี่ยวกับความปลอดภัยโดยรวมของบริการ เขากล่าว

ความกังวลเกี่ยวกับความปลอดภัยของบริการรักษาความปลอดภัยบนคลาวด์ของ Microsoft — และความกังวลของผู้ให้บริการคลาวด์รายอื่นได้เพิ่มมากขึ้นในช่วงหลายเดือนที่ผ่านมา กระทรวงความมั่นคงแห่งมาตุภูมิเมื่อต้นเดือนนี้ เปิดตัวการสอบสวน ในการรักษาความปลอดภัยของสภาพแวดล้อมการประมวลผลแบบคลาวด์ที่ถูกกระตุ้นอย่างน้อยบางส่วนจากการละเมิดบริการคลาวด์ของ Microsoft ก่อนหน้านี้ ซึ่งทำให้กลุ่มภัยคุกคามของจีนสามารถเข้าถึง เครือข่าย 25 องค์กร.

Microsoft ได้ออก CVEs สำหรับข้อบกพร่องแต่ละข้อและประเมินว่ามีความรุนแรง "สำคัญ" ซึ่งเป็นการกำหนดที่ต่ำกว่า "วิกฤต" ขั้นหนึ่ง บริษัทอธิบายข้อบกพร่องแต่ละข้อว่าเป็นปัญหาที่ผู้โจมตีจะสามารถใช้ประโยชน์ได้เมื่อมีการโต้ตอบกับผู้ใช้ในระดับหนึ่งเท่านั้น “ผู้โจมตีจะต้องส่งไฟล์ที่เป็นอันตรายไปยังเหยื่อซึ่งเหยื่อจะต้องดำเนินการ” ไมโครซอฟต์กล่าว พร้อมเสริมว่าผู้โจมตีจะต้องมีสิทธิ์ระดับผู้ดูแลระบบจึงจะสามารถใช้ประโยชน์จากข้อบกพร่องได้

Ben Shitrit กล่าวว่ามีไม่มากนักที่องค์กรต่างๆ สามารถทำได้โดยเฉพาะกับ Azure HDInsight เพื่อให้มีความปลอดภัยมากขึ้น นอกเหนือจากการใช้แพตช์ของ Microsoft สำหรับเทคโนโลยีเสมอ 

“แต่โดยการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย เช่น การใช้นโยบายความปลอดภัยของเนื้อหา (CSP) การตรวจสอบอินพุตและการเข้ารหัสเอาต์พุต ตลอดจนการปฏิบัติตามหลักการที่มีสิทธิ์น้อยที่สุด พวกเขาสามารถลดความเสี่ยงต่อช่องโหว่ XSS โดยทั่วไปได้” เขา พูดว่า

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/microsoft-azure-hdinsight-xss-vulnerabilities