Azure App Service ເປັນບໍລິການແບບປະສານທີ່ລູກຄ້າສາມາດບໍລິຫານຈັດການທຸກຢ່າງເອງໄດ້ທັງໝົດ ຊ່ວຍໃຫ້ອົງກອນສາມາດສ້າງ Web ແລະ Mobile
Apps ທີ່ສາມາດຣັນເທິງແພຼ໊ດຟອມຫລືອຸປະກອນໃດກໍໄດ້ ລວມໄປເຖິງສາມາດປະສານການເຮັດວຽກຮ່ວມກັບໂຊລູຊັນ SaaS ແລະ On-premises Apps ເພື່ອເພີ່ມຄວາມອັດຕະໂນມັດໃຫ້ແກ່ຂະບວນການເຊີງທຸລະກິດໄດ້ຢ່າງງ່າຍດາຍ
ນັກວິໄຈດ້ານຄວາມຫມັ້ນຄົງປອດໄພຈາກ Check
Point ໄດ້ອອກມາເປີດເຜີຍເຖິງຊ່ອງໂຫວ່ Request
Spoofing ເທິງ Azure
Stack ໂຊລູຊັນ Hybrid
Cloud ຂອງ Microsoft
ໂດຍຊ່ອງໂຫວ່ດັ່ງກ່າວມີລະຫັດ CVE-2019-1234 ຖ້າຖືກໂຈມຕີ ອາດຊ່ວຍໃຫ້ແຮັກເກີສາມາດເຂົ້າເຖິງ Screenshots
ແລະ Sensitive Information ຂອງ Virtual Machine ໃດກໍຕາມທີ່ຣັນຢູ່ເທິງໂຄງຂ່າຍຂອງ Azure ໄດ້ຈາໄລຍະໄກໄດ້ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ ໂດຍບໍ່ສົນວ່າ Virtual
Machine ນັ້ນຈະຣັນແບບແຊຊັບພະຍາກອນຮ່ວມກັນ ຫລື ແຍກກັນຣັນຕ່າງຫາກ
ນັກວິໄຈຍັງລະບຸວ່າ ແຮັກເກີສາມາດໂຈມຕີຊ່ອງໂຫວ່ນີ້ໄດ້ຜ່ານທາງ Microsoft
Azure Stack Portal ເຊິ່ງເປັນສ່ວນຕໍ່ປະສານທີ່ຊ່ວຍໃຫ້ຜູ້ໃຊ້ສາມາດເຂົ້າເຖິງ Cloud ທີ່ຕົວເອງສ້າງໂດຍໃຊ້ Azure
Stack ໄດ້ ແລະຈາກການໃຊ້ປະໂຫຍດຈາກ API ທີ່ບໍ່ໝັ້ນຄົງປອດໄພ ແຮັກເກີສາມາດເກັບຂໍ້ມູນຊື່ແລະ ID ຂອງ Virtual
Machine ຂໍ້ມູນຮາດແວເຊັ້ນ Cores ແລະ Memory, ໃຊ້ຂໍ້ມູນເຫຼົ່ານີ້ຮ່ວມກັບ HTTP
Request ທີ່ບໍ່ຕ້ອງພິສູດຕົວຕົນເພື່ອເກັບ Screenshots ໄດ້.
ອີກຊ່ອງໂຫວ່ທີ່ຄົ້ນພົບມີລະຫັດ CVE-2019-1372
ເປັນຊ່ອງໂຫວ່ Remote
Code Execution ທີ່ສົ່ງຜົນກະທົບຕໍ່ Azure App
Service ເທິງ Azure
Stack ຊ່ວຍໃຫ້ແຮັກເກີສາມາດເຂົ້າຄວບຄຸມ Azure
Server ຂອງເຫຢື່ອໄດ້ທັງໝົດ ທີ່ໜ້າສົນໃຈຄື ແຮັກເກີສາມາດໂຈມຕີຊ່ອງໂຫວ່ທັງສອງນີ້ໄດ້ໂດຍການສ້າງຊື່ບັນຊີຜູ້ໃຊ້ໃໝ່ກັບ Azure
Cloud ແບບຟຣີໆ ເພື່ອຣັນຟັງຊັນໂຈມຕີ ຫລື ສົ່ງ HTTP
Request ໄປຍັງ Azure
Stack Portal ຂອງຜູ້ໃຊ້ໂດຍບໍ່ຕ້ອງພິສູດຕົວຕົນໄດ້ເລຍ
Check Point ໄດ້ລາຍງານຊ່ອງໂຫວ່ທີ່ຄົ້ນພົບທັງ 2 ລາຍການໄປຍັງ Microsoft
ຕັ້ງແຕ່ປີທີ່ຜ່ານມາ (2019) ແລະ ໄດ້ຮັບຣາງວັນຄ່າການຄົ້ນພົບຊ່ອງໂຫວ່ $40,000 ເຊິ່ງທາງ Microsoft
ກໍໄດ້ອອກແພ໊ດເພື່ອອຸດຊ່ອງໂຫວ່ເປັນທີ່ຮຽບຮ້ອຍ
No comments:
Post a Comment