باحثون يكشفون عن 8 ثغرات في خدمة Azure HDInsight Analytics. تم الكشف عن مزيد من التفاصيل حول مجموعة من الثغرات الأمنية في خدمة Azure HDInsight open-source analytics من Microsoft والتي تم إصلاحها الآن، والتي يمكن أن تستغلها الجهات الفاعلة في التهديد لتنفيذ أنشطة ضارة.
قال باحث الأمن في Orca Lidor Ben Shitrit في تقرير تم مشاركته مع The Hacker News: “تتكون الثغرات الأمنية التي تم تحديدها من ست ثغرات XSS مخزنة وثغرتين XSS reflected، يمكن استغلال كل منها لأداء إجراءات غير مصرح بها، تتراوح من الوصول إلى البيانات إلى اعتراض الجلسة وتسليم حمولات ضارة”.
تم معالجة هذه المشكلات من قبل Microsoft كجزء من تحديثات Patch Tuesday لشهر أغسطس 2023.
يأتي هذا الكشف بعد ثلاثة أشهر من الإبلاغ عن أوجه قصور مماثلة في Azure Bastion و Azure Container Registry والتي يمكن أن تستغلها للوصول غير المصرح به إلى البيانات وتعديلها.
فيما يلي قائمة بالثغرات:
- CVE-2023-35393 (درجة CVSS: 4.5) – Azure Apache Hive Spoofing Vulnerability
- CVE-2023-35394 (درجة CVSS: 4.6) – Azure HDInsight Jupyter Notebook Spoofing Vulnerability
- CVE-2023-36877 (درجة CVSS: 4.5) – Azure Apache Oozie Spoofing Vulnerability
- CVE-2023-36881 (درجة CVSS: 4.5) – Azure Apache Ambari Spoofing Vulnerability
- CVE-2023-38188 (درجة CVSS: 4.5) – Azure Apache Hadoop Spoofing Vulnerability
“سيكون على المهاجم إرسال ملف ضار إلى الضحية يتعين على الضحية تنفيذه،” لاحظت Microsoft في إشعاراتها عن الأخطاء. “يجب أن يرسل مهاجم مخول بصلاحيات ضيف إلى ضحية موقعًا ضارًا وي convinceهم لفتحه.”
تحدث هجمات XSS عندما يقوم الخصم بحقن البرامج النصية الضارة في موقع ويب شرعي ، والتي يتم تنفيذها لاحقًا في متصفحات الويب الخاصة بالضحايا عند زيارة الموقع. بينما تستهدف XSS المنعكسة المستخدمين الذين يتم خداعهم للنقر فوق رابط احتيالي ، يتم تضمين XSS المخزن في صفحة ويب ويؤثر على جميع المستخدمين الذين يدخلون إليها.
قالت شركة الأمن السحابية أن جميع الثغرات تنشأ بسبب عدم وجود saniTAZation الإدخال المناسب مما يجعل من الممكن عرض الأحرف الخبيثة عند تحميل لوحة المعلومات.
“تسمح هذه الضعفات بشكل جماعي للمهاجم بحقن وتنفيذ البرامج النصية الضارة عند استرداد البيانات المخزنة وعرضها للمستخدمين ،” لاحظ Ben Shitrit ، داعيًا إلى أن تضع organizations قواعد validation الإدخال المناسبة و encoding الإخراج لضمان أن يتم saniTAZation البيانات التي تم إنشاؤها بواسطة المستخدم بشكل صحيح قبل عرضها في صفحات الويب.”
بما في ذلك:
- سرقة بيانات المستخدمين، مثل كلمات المرور والأرقام السرية.
- إحداث تغييرات في بيانات المستخدمين، مثل حذف الملفات أو إتلافها.
- التلاعب بتطبيقات الويب، مثل نشر محتوى ضار أو تعديل سلوك التطبيق.
- تسرب البيانات الحساسة إلى أطراف ثالثة.
توضح هذه المعلومات الإضافية كيفية يمكن للمهاجمين استخدام الثغرات الأمنية في خدمة Azure HDInsight Analytics لشن هجمات ضارة. كما تسلط الضوء على أهمية اتخاذ تدابير وقائية للحماية من هذه الهجمات.
نصائح للحماية من هجمات XSS:
- تحديث تطبيقات الويب الخاصة بك بانتظام.
- استخدام أدوات saniTAZation الإدخال للتحقق من صحة البيانات قبل عرضها على الصفحات.
- تكوين قواعد encoding الإخراج لمنع عرض الأحرف الخبيثة.
- تثقيف المستخدمين حول مخاطر هجمات XSS وكيفية تجنبها.
- استخدام شهادات SSL/TLS الآمنة على تطبيقات الويب.
- تطبيق قيود على ما يمكن للمستخدمين إدخاله في تطبيقات الويب.
- استخدام أدوات تحليل التهديدات لمراقبة تطبيقات الويب بحثًا عن علامات نشاط ضار.
من المهم أن تقوم المؤسسات بتحديث تطبيقات الويب الخاصة بها بانتظام لتصحيح هذه الثغرات. كما يجب استخدام أدوات saniTAZation الإدخال للتحقق من صحة البيانات قبل عرضها على الصفحات. وأخيرًا، يجب تثقيف المستخدمين حول مخاطر هجمات XSS وكيفية تجنبها.”
باحثون يكشفون عن 8 ثغرات في خدمة Azure HDInsight Analytics. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.