Microsoft Azure API管理服务发现的安全漏洞

关键要点

• 微软Azure API管理服务受到三种安全漏洞影响
• 包括两个服务器端请求伪造（SSRF）漏洞和一个文件上传路径遍历漏洞
• 所有漏洞已被微软修复
• 恶意攻击者可能利用这些漏洞获取敏感数据及后端服务访问权限

根据的报道，微软AzureAPI管理服务被发现存在三种安全漏洞，其中包括两个服务器端请求伪造（SSRF）漏洞和一个文件上传路径遍历漏洞。这些问题已被微软修复。

根据Ermetic的一份报告，威胁行为者可能利用这些漏洞来获取敏感信息和后端服务的访问权限。Ermetic研究员LivMatan表示：“通过利用这些SSRF漏洞，攻击者可以从服务的CORS代理和托管代理发送请求，访问内部Azure资产，拒绝服务并绕过网络应用防火墙。对于文件上传路径遍历漏洞，攻击者能够将恶意文件上传到Azure托管的内部工作负载。”

报告还指出，其中一个SSRF漏洞旨在规避微软今年早些时候发布的一个修复措施，而路径遍历漏洞则是由于文件类型和上传文件路径验证不足所致。关于这些漏洞的详细信息在后几周才公布，该缺陷可能导致存储账户访问、远程代码执行和横向移动等问题。

漏洞类型 | 详细说明
—|—
服务器端请求伪造（SSRF） | 允许攻击者从服务发送恶意请求，以访问内部资产
文件上传路径遍历 | 攻击者可以上传恶意文件至Azure的托管内部工作负载

在网络安全日益重要的今天，及时发现和修复安全漏洞显得尤为关键，企业必须保持警惕并采取适当的预防措施。