Microsoft resolves four SSRF vulnerabilities in Azure cloud services

摘要

微软最近修复了由Orca Security报告的一组服务器端请求伪造（SSRF）漏洞，这些漏洞存在于四个Azure服务中（Azure API管理、Azure Functions、Azure机器学习和Azure数字孪生）。这些SSRF漏洞被确定为低风险，因为它们不允许访问敏感信息或Azure后端服务。一旦这些SSRF漏洞被报告，微软迅速采取了必要步骤，通过对易受攻击的URL实施额外的输入验证来解决每个漏洞。微软还进行了彻底调查，并确定这些SSRF漏洞无法用于访问元数据、连接到内部服务、访问未经授权的数据或获取跨租户访问。对于四个受影响的Azure服务，无需客户采取任何行动。

SSRF漏洞的影响可能因环境而异，但可能允许访问敏感的内部端点或端口扫描。微软有机制来防止特权滥用，例如未经授权检索令牌、横向移动或代码执行。因此，这四个漏洞未对Azure服务或基础设施造成任何实质性影响。

技术细节

以下是报告了SSRF漏洞的四个Azure服务。一旦报告，微软工程和安全团队迅速采取措施缓解这些漏洞。

• Azure数字孪生：2022年10月8日报告了托管数字孪生资源管理器中的SSRF漏洞。修复于2022年10月17日发布。Azure数字孪生有机制防止IDMS和wireserver访问，从而阻止访问其他内部Azure服务。

• Azure Functions：2022年11月12日报告了Azure Functions服务中的SSRF漏洞，可能允许未经身份验证的用户请求任意URL，从而使攻击者能够枚举本地端口信息。修复于2022年12月9日发布。

• API管理：2022年11月12日报告了Azure API管理服务中的SSRF漏洞，可能允许经过身份验证的用户滥用服务器请求环回URL。2022年11月16日，APIM工程团队完成了修复部署，充分阻止了对VM上本地端口/资源的访问。

• Azure机器学习（ML）：2022年12月2日报告的机器学习服务中经过身份验证的SSRF漏洞被评估为低风险，因为它未泄露任何敏感数据或令牌，且未启用对敏感内部端点的访问。修复于2022年12月20日发布。

致谢

我们感谢有机会调查Orca Security报告的发现，这帮助我们进一步加固服务，并感谢他们在Microsoft Bug Bounty计划条款下实践安全研究。我们鼓励所有研究人员在协调漏洞披露（CVD）下与供应商合作，并遵守渗透测试的参与规则，以避免在进行安全研究时影响客户数据。

参考

如有疑问？通过Azure门户在aka.ms/azsupt 打开支持案例。 Orca的博客：https://orca.security/resources/blog/ssrf-vulnerabilities-in-four-azure-services