Microsoft修复Azure云服务中的4个SSRF漏洞
概要
最近,微软修复了由Orca Security报告的Azure API Management、Azure Functions、Azure Machine Learning和Azure Digital Twins四项服务中的服务器端请求伪造(SSRF)漏洞。经评估,这些漏洞无法获取敏感信息或访问Azure后端服务,风险等级较低。微软通过实施额外的输入验证快速响应,并确认这些漏洞无法用于访问元数据、连接内部服务或跨租户操作。受影响服务用户无需采取额外措施。
技术细节
-
Azure Digital Twins
2022年10月8日报告Digital Twins Explorer的SSRF漏洞,10月17日修复。系统已内置机制防止通过IDMS和wireserver访问内部服务。 -
Azure Functions
2022年11月12日报告未授权用户可枚举本地端口信息的漏洞,12月9日修复完成。 -
API Management
11月12日报告认证用户可能滥用环回URL的问题,11月16日通过阻断VM本地端口访问完成修复。 -
Azure Machine Learning
12月2日报告的漏洞经评估无法泄露敏感数据,风险较低,12月20日发布修复。
致谢
感谢Orca Security通过微软漏洞赏金计划提交报告,并遵循协同漏洞披露(CVD)原则。微软建议所有研究人员遵守渗透测试协议以保护客户数据安全。
参考链接
- 用户支持:aka.ms/azsupt
- Orca博客:https://orca.security/resources/blog/ssrf-vulnerabilities-in-four-azure-services
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
浙公网安备 33010602011771号