ظهرت تفاصيل حول ثغرة أمنية تم تصحيحها الآن في Azure Service Fabric Explorer ( SFX ) والتي قد تؤدي إلى تنفيذ تعليمات برمجية عن بُعد غير مصادق.
تم تتبع المشكلة كـ CVE-2023-23383 (درجة CVSS: 8.2) ، وقد أطلق على المشكلة اسم "Super FabriXss" بواسطة Orca Security ، وهو إشارة إلى خلل FabriXss (CVE-2022-35829 ، درجة CVSS: 6.2) الذي تم إصلاحه بواسطة Microsoft في أكتوبر 2022.
قال الباحث الأمني ليدور بن شيتريت في تقرير تمت مشاركته مع The Hacker News: "تمكن الثغرة الأمنية Super FabriXss المهاجمين من الاستفادة من ثغرة XSS لتحقيق تنفيذ التعليمات البرمجية عن بُعد على حاوية مستضافة على عقدة Service Fabric دون الحاجة إلى المصادقة".
يشير XSS إلى نوع من هجوم حقن التعليمات البرمجية من جانب العميل والذي يجعل من الممكن تحميل نصوص ضارة إلى مواقع ويب موثوقة. ثم يتم تنفيذ البرامج النصية في كل مرة يزور فيها الضحية موقع الويب المخترق ، مما يؤدي إلى عواقب غير مقصودة.
في حين أن كلا من FabriXss و Super FabriXss هما عيوب XSS ، فإن Super FabriXss له آثار أكثر خطورة من حيث أنه يمكن استخدامه كسلاح لتنفيذ التعليمات البرمجية وربما السيطرة على الأنظمة الحساسة.
Super FabriXss ، الموجود في علامة التبويب "الأحداث" المرتبطة بكل عقدة في المجموعة من واجهة المستخدم ، هو أيضًا عيب XSS منعكس ، مما يعني أن البرنامج النصي مضمن في رابط ، ولا يتم تشغيله إلا عند النقر على الرابط.
وأوضح بن شيتريت: "يستفيد هذا الهجوم من خيارات تبديل نوع الكتلة ضمن علامة تبويب الأحداث في النظام الأساسي لخدمة النسيج التي تسمح للمهاجم بالكتابة فوق نشر Compose الحالي عن طريق تشغيل ترقية بعنوان URL تم إنشاؤه خصيصًا من ثغرة XSS".
"من خلال التحكم في تطبيق شرعي بهذه الطريقة ، يمكن للمهاجم استخدامه كمنصة لشن المزيد من الهجمات أو الوصول إلى البيانات أو الموارد الحساسة."
يؤثر الخلل ، وفقًا لـ Orca ، على إصدار Azure Service Fabric Explorer 9.1.1436.9590 أو إصدار أقدم. ومنذ ذلك الحين ، عالجتها Microsoft كجزء من تحديث يوم الثلاثاء في مارس 2023 ، حيث وصفها عملاق التكنولوجيا بأنها ثغرة أمنية مخادعة.
"الثغرة الأمنية موجودة في عميل الويب ، لكن البرامج النصية الخبيثة التي يتم تنفيذها في متصفح الضحية تترجم إلى إجراءات يتم تنفيذها في المجموعة (البعيدة) ،" أشارت مايكروسوفت في استشاريها. "سيتعين على المستخدم الضحية النقر فوق حمولة XSS المخزنة التي تم حقنها بواسطة المهاجم ليتم اختراقها."
يأتي الكشف في الوقت الذي كشف فيه NetSPI عن خلل في تصعيد الامتياز في تطبيقات Azure Function Apps ، مما يتيح للمستخدمين أذونات "للقراءة فقط" للوصول إلى المعلومات الحساسة والحصول على تنفيذ الأوامر.
كما أنه يتبع اكتشاف خطأ في التكوين في Azure Active Directory والذي كشف عن عدد من التطبيقات للوصول غير المصرح به ، بما في ذلك نظام إدارة المحتوى (CMS) الذي يقوم بتشغيل Bing.com.
قالت شركة الأمان السحابية Wiz ، التي أطلق عليها اسم هجوم BingBang ، إنه يمكن تسليحها لتغيير نتائج البحث في Bing ، والأسوأ من ذلك ، تنفيذ هجمات XSS على مستخدميها.