Uma vulnerabilidade no Azure Service Fabric Explorer (SFX) foi corrigido recentemente.
CVE-2023-23383: Descoberta e visão geral técnica
empresa de segurança Orca descoberto uma falha de segurança grave no Azure Service Fabric Explorer que poderia ser aproveitada enviando uma URL construída para qualquer usuário do Azure Service Fabric. A vulnerabilidade foi causada por um 'Node Name’ parâmetro, que pode ser usado para incorporar um iframe no ambiente do usuário.
Esse iframe busca arquivos remotos de um servidor gerenciado pelo invasor, resultando na ativação de um shell reverso malicioso do PowerShell. Esta sequência de ataque pode eventualmente levar a execução remota de código no contêiner implantado no cluster, potencialmente permitindo que o invasor obtenha o controle de sistemas vitais.
a vulnerabilidade, conhecido como “Super FabriXss” (CVE-2023-23383 com uma pontuação CVSS de 8.2), é uma atualização de uma falha do FabriXs corrigida anteriormente – CVE-2022-35829, pontuação CVSS 6.2.
De acordo com o pesquisador de segurança da Orca, Lidor Ben Shitrit, esta vulnerabilidade permite que invasores executem código remotamente em um nó do Service Fabric sem a necessidade de autenticação. Isso é possível devido a um ataque de injeção de XSS, em que um código malicioso é carregado em um site aparentemente confiável, e, em seguida, executado cada vez que um usuário visita.
Embora tanto o FabriXss quanto o Super FabriXss envolvam XSS, O Super FabriXss tem implicações mais sérias, pois pode ser armado para obter o controle dos sistemas afetados.
Em março 2023, A Orca Security descobriu um perigoso Cross-Site Scripting (XSS) vulnerabilidade, conhecido como Super FabriXss (CVE-2023-23383), dentro do Azure Service Fabric Explorer (SFX). Esta vulnerabilidade permitia que invasores remotos não autenticados executassem código em um contêiner hospedado em um nó do Service Fabric.
Uma vez notificado, Centro de Resposta de Segurança da Microsoft (MSRC) investigou o problema e atribuiu a ele CVE-2023-23383 (CVSS 8.2) com gravidade 'Importante'. A Microsoft lançou uma correção e a incluiu em seu relatório de março 2023 patch Tuesday, permitindo assim que os usuários se protejam contra essa vulnerabilidade.