Microsoft Azure SFX中的Super FabriXss漏洞可能导致远程代码执行

研究人员分享了有关Azure Service Fabric Explorer(SFX)中称为Super FabriXss的缺陷的详细信息，该缺陷可能导致未经身份验证的远程代码执行。

Orca Security的研究人员分享了有关Azure中一个名为Super FabriXss(CVE-2023-23383–CVSS分数：8.2)的新漏洞的详细信息。专家们演示了如何将Azure Service Fabric Explorer中反映的XSS漏洞升级为未经身份验证的远程代码执行。

研究人员解释说，他们滥用了指标选项卡并在控制台中启用了一个特定选项——“集群类型”切换。

Super FabriXss这个名字来源于微软在2022年10月解决的FabriXss漏洞（CVE-2022-35829，CVSS评分：6.2）。

“Super FabriXss漏洞使远程攻击者能够利用XSS漏洞在Service Fabric节点上托管的容器上实现远程代码执行，而无需身份验证。”“最初发现的XSS漏洞允许恶意脚本从Web应用程序中反映出来，在单击精心制作的恶意URL并切换“集群”事件后，最终成为一个完整的远程代码执行(RCE)漏洞在“事件”选项卡下键入设置。”

研究人员演示了如何通过向任何Azure Service Fabric用户发送精心制作的URL来利用Azure Service Fabric Explorer中的漏洞。专家们发现，可以将iframe嵌入到用户上下文中易受攻击的“节点名称”参数中。iframe用于从服务器检索远程文件，最终导致恶意PowerShell反向shell的执行。

“这个攻击链最终会导致在部署到集群的容器上远程执行代码，可能允许攻击者控制关键系统。”

与FabriXxs不同的是，SuperFabriXxs问题只存在于Windows Cluster中，但可用于大规模的代码执行攻击。

攻击由两个主要阶段组成：

1. 一旦嵌入iframe并触发获取请求，攻击者的代码就会利用升级过程用新的恶意部署覆盖现有部署。此新部署在其Dockerfile中包含一条CMD指令，该指令将下载远程.bat文件。

2. 下载.bat文件后，它会被执行并依次检索包含编码反向shell的第二个文件。此反向shell允许攻击者获得对目标系统的远程访问权限，并可能控制托管容器的集群节点。

该漏洞影响Azure Service Fabric Explorer版本9.1.1436.9590或更早版本。Orca于2022年12月20日通过MSRC VDP向MSRC报告了该漏洞。

Microsoft已通过发布2023年3月补丁星期二安全更新解决了该问题。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5505.html