Nhiều chi tiết đã xuất hiện về một tập hợp các lỗ hổng cross-site scripting (XSS) hiện đã được vá trong dịch vụ phân tích nguồn mở Microsoft Azure HDInsight có thể được vũ khí hóa bởi một tác nhân đe dọa để thực hiện các hoạt động độc hại.
"Các lỗ hổng được xác định bao gồm sáu lỗ hổng XSS được lưu trữ và hai lỗ hổng XSS được phản ánh, mỗi lỗ hổng có thể bị khai thác để thực hiện các hành động trái phép, thay đổi từ truy cập dữ liệu đến chiếm quyền điều khiển phiên và cung cấp tải trọng độc hại", nhà nghiên cứu bảo mật Orca Lidor Ben Shitrit cho biết trong một báo cáo được chia sẻ với The Hacker News.
Các vấn đề này đã được Microsoft giải quyết trong bản cập nhật Patch Tuesday vào tháng 8 năm 2023.
Việc tiết lộ được đưa ra ba tháng sau khi những thiếu sót tương tự được báo cáo trong Azure Bastion và Azure Container Registry có thể đã bị khai thác để truy cập và sửa đổi dữ liệu trái phép.
Danh sách các sai sót như sau -
- CVE-2023-35393 (điểm CVSS: 4.5) - Lỗ hổng giả mạo Azure Apache Hive
- CVE-2023-35394 (điểm CVSS: 4.6) - Azure HDInsight Lỗ hổng giả mạo Jupyter Notebook Spoofing
- CVE-2023-36877 (điểm CVSS: 4.5) - Lỗ hổng giả mạo Azure Apache Oozie
- CVE-2023-36881 (điểm CVSS: 4.5) - Lỗ hổng giả mạo Azure Apache Ambari
- CVE-2023-38188 (điểm CVSS: 4.5) - Lỗ hổng giả mạo Azure Apache Hadoop
"Kẻ tấn công sẽ phải gửi cho nạn nhân một tệp độc hại mà nạn nhân sẽ phải thực thi", Microsoft lưu ý trong các khuyến cáo của mình về các lỗi. "Kẻ tấn công được ủy quyền với đặc quyền của khách phải gửi cho nạn nhân một trang web độc hại và thuyết phục họ mở nó."
Các cuộc tấn công XSS xảy ra khi kẻ thù tiêm các tập lệnh giả mạo vào một trang web hợp pháp, sau đó được thực thi trên trình duyệt web của nạn nhân khi truy cập trang web. Trong khi XSS được phản ánh nhắm mục tiêu người dùng bị lừa nhấp vào liên kết gian lận, XSS được lưu trữ được nhúng trong một trang web và ảnh hưởng đến tất cả người dùng truy cập nó.
Công ty bảo mật đám mây cho biết tất cả các lỗ hổng bắt nguồn từ việc thiếu vệ sinh đầu vào thích hợp khiến nó có thể hiển thị các ký tự độc hại khi tải bảng điều khiển.
"Những điểm yếu này cho phép kẻ tấn công tiêm và thực thi các tập lệnh độc hại khi dữ liệu được lưu trữ được truy xuất và hiển thị cho người dùng", Ben Shitrit lưu ý, kêu gọi các tổ chức thực hiện xác thực đầu vào đầy đủ và mã hóa đầu ra để "đảm bảo rằng dữ liệu do người dùng tạo được vệ sinh đúng cách trước khi được hiển thị trong các trang web".