Microsoft neumí zabezpečit web servery... Mají díru v Azure AppService.

Fis

Přestože se chvástají, jak jedou podle bezpečnostních best practices a standardů a chlubí se jak jsou PCI DSS compliant, neumí zabezpečit svoje web servery a mají tam díru jak vrata. Ale prej je to baj dyzajn... Více zde:
http://fis-cz.blogspot.cz/2017/05/ms-azure-appservice-vulnerability.html


.

TLDR verze
  • Na vašem aplikačním serveru můžete provozovat vaši aplikaci, která bude mít přístup k vašim zdrojům.
  • Pokud provozujete aplikaci umožňující nějaký průnik, může útočník využít této její vlastnosti/zranitelnosti k průniku.
  • Autor je etický hacker přes 10 let a již držel holku za ruku. Prý.

Sten

Líbí se mi ty jeho odhady, jak by to mělo být hodnoceno a že útočníka nepůjde odhalit, protože … všechny jeho kroky jsou někde zalogované, ale bude těžké najít korelaci? LOL.

Ten odkaz na „Based on industry standards and best practices“ v PCI DSS oddílu 6 jen ukazuje, že autor vůbec netuší, o čem píše, protože to se týká způsobu vývoje aplikací, ne jejich nasazení.

Fis

Líbí se mi ty jeho odhady, jak by to mělo být hodnoceno a že útočníka nepůjde odhalit, protože … všechny jeho kroky jsou někde zalogované, ale bude těžké najít korelaci? LOL.
Ten odkaz na „Based on industry standards and best practices“ v PCI DSS oddílu 6 jen ukazuje, že autor vůbec netuší, o čem píše, protože to se týká způsobu vývoje aplikací, ne jejich nasazení.


1. Prosím nevyjadřuj se k něčemu,čemu rozumíš asi tak jako koza petrželi.

2. Zajímalo by mě, jak bych chtěl najít útočníka, který provede takovou akci přes ANONYMNÍ proxy, když jediné co najdeš v logu IIS bude, že z nejakého veřejného IP této anonymní proxy NĚKDO vydeployoval aplikaci s oprávněním IIS účtu pouřitého pro ANONYMNÍ přístup z webu.

3. Bože, co prosímtě víš o PCI DSS standardu? Viděl jsi ho z vlaku nebo jsi jen někde slyšel, že to existuje?

   6. Develop and maintain secure systems and applications.

      SYSTEMS AND APPLICATIONS! Doufám, že víš co to znamená.

      6.1 Ensure that all system components and software are protected from known vulnerabilities by
            having the latest vendor-supplied security patches installed. Deploy critical patches within a
            month of release.

      Znovu. ALL SYSTEM COMPONENTS!

      6.2 Establish a process to identify and assign a risk ranking to newly discovered security vulnerabilities.
      Risk rankings should be based on industry best practices and guidelines. Ranking vulnerabilities is
      a best practice that will become a requirement on July 1, 2012

     K tomu už nemám co bych dodal.

Tahle zranitelnost je rozhodne znama zranitelnost a je to minimalne kategorie OWASP 2010/13/17 A.5. Security Misconfiguration.

Kromě toho nejsou velmi pravděpodobně compliant s:

2.2 Develop configuration standards for all system components. Assure that thees standards address all know security vulnerabilities and are consistent with industry-acceptes system hardening standards.

Jenže já jejich konfigurační standardy neviděl! Klidně je můžou mít v pořádku. Jen je nedodržovat.


Fis

TLDR verze
  • Na vašem aplikačním serveru můžete provozovat vaši aplikaci, která bude mít přístup k vašim zdrojům.
  • Pokud provozujete aplikaci umožňující nějaký průnik, může útočník využít této její vlastnosti/zranitelnosti k průniku.
  • Autor je etický hacker přes 10 let a již držel holku za ruku. Prý.

Nemám problém s přístupem ke zdrojům. Mám problém s tím, k jakým zdrojům. A holku jsem za ruku nikdy nedržel, nemám na to čas.


čumil

TLDR verze
  • Na vašem aplikačním serveru můžete provozovat vaši aplikaci, která bude mít přístup k vašim zdrojům.
  • Pokud provozujete aplikaci umožňující nějaký průnik, může útočník využít této její vlastnosti/zranitelnosti k průniku.
  • Autor je etický hacker přes 10 let a již držel holku za ruku. Prý.
rekni mi jak jeho sexualní zivot koreluje s tim ze ma m$hit zkurveny produkty ?

Sten

2. Zajímalo by mě, jak bych chtěl najít útočníka, který provede takovou akci přes ANONYMNÍ proxy, když jediné co najdeš v logu IIS bude, že z nejakého veřejného IP této anonymní proxy NĚKDO vydeployoval aplikaci s oprávněním IIS účtu pouřitého pro ANONYMNÍ přístup z webu.

Nic takového se v tom blogu nepíše. Naopak se tam píše ta blbost, na kterou jsem odkazoval: of course, the IP address can be visible somewhere in the log, but probably not with the action performed so correlation will be hard

3. Bože, co prosímtě víš o PCI DSS standardu? Viděl jsi ho z vlaku nebo jsi jen někde slyšel, že to existuje?

   6. Develop and maintain secure systems and applications.

      SYSTEMS AND APPLICATIONS! Doufám, že víš co to znamená.

      6.1 Ensure that all system components and software are protected from known vulnerabilities by
            having the latest vendor-supplied security patches installed. Deploy critical patches within a
            month of release.

      Znovu. ALL SYSTEM COMPONENTS!

      6.2 Establish a process to identify and assign a risk ranking to newly discovered security vulnerabilities.
      Risk rankings should be based on industry best practices and guidelines. Ranking vulnerabilities is
      a best practice that will become a requirement on July 1, 2012

Chápu, že člověk, který PCI DSS četl poprvé, a navíc zastaralou verzi ;), si nevšiml, že oddíl 6 pokračuje dál a to odkazované „based on industry standards and best practices“ se objevuje v 6.3, které se týká vývoje aplikací.

.

rekni mi jak jeho sexualní zivot koreluje s tim ze ma m$hit zkurveny produkty ?
Ten blogísek nepopisuje žádnou vadu Azure. Autor nemá ponětí o čem píše, pouze se ztrapňuje a vůbec si to neuvědomuje.
Ten poslední bod byl jen takový vtip. Takový ten, co se nevysvětluje, protože když nechápeš, tak nepochopíš.

čumil

rekni mi jak jeho sexualní zivot koreluje s tim ze ma m$hit zkurveny produkty ?
Ten blogísek nepopisuje žádnou vadu Azure. Autor nemá ponětí o čem píše, pouze se ztrapňuje a vůbec si to neuvědomuje.
Ten poslední bod byl jen takový vtip. Takový ten, co se nevysvětluje, protože když nechápeš, tak nepochopíš.
ale ja ho chapu, o to vic mi prijdes jako kreten :)

Fis

rekni mi jak jeho sexualní zivot koreluje s tim ze ma m$hit zkurveny produkty ?
Ten blogísek nepopisuje žádnou vadu Azure. Autor nemá ponětí o čem píše, pouze se ztrapňuje a vůbec si to neuvědomuje.
Ten poslední bod byl jen takový vtip. Takový ten, co se nevysvětluje, protože když nechápeš, tak nepochopíš.

Proc vzycky nekdo, kdo necemu nerozumi takhle hrozne machruje a sam si neuvedomuje, ze se strasne ztrapnuje?

Fis

Mimochodem, tahle dira co tam je patri do kategorie hned za ty, kde jsou prihlasovaci udaje admin/admin

Proc vzycky nekdo, kdo necemu nerozumi takhle hrozne machruje a sam si neuvedomuje, ze se strasne ztrapnuje?
Jediný z celé diskuse, na koho mi tohle tvrzení sedí, jste vy. A začalo to hned prvním příspěvkem, který je podle mého názoru jen komentářovým spamem – bombastický titulek, a pak nic, žádný dotaz ani doložené tvrzení, jenom odkaz na vlastní blog. Asi ten blog nikoho nezajímá, tak je potřeba přivést nějaké návštěvníky, které zajímá, co je to zase za nesmysl, že?

Mimochodem, nějak jste zapomněl vysvětlit, proč si myslíte, že Azure AppService je typ služby, kde by tohle mělo být ošetřeno provozovatelem služby a ne autorem aplikace. Normálně se totiž poskytují oba typy služeb – někdo vám poskytne čistý hardware nebo VPS a je zcela na vás, co si s tím uděláte. Máte na daném počítači roota nebo administrátora a je na vás, abyste si to zabezpečil. A nebo jsou na druhém konci škály služby, kdy vám někdo poskytuje nejčastěji konkrétní aplikaci (třeba GMail nebo Office365), a vy ji používáte jako uživatel – přičemž veškeré zabezpečení je na provozovateli té aplikace. Nevím, jak jste přišel na to, že Azure AppService má blíž k tomu druhému – podle mne bude obecný webový server vždy patřit do té první kategorie, tudíž je na tom, kdo tam nasazuje nějakou aplikaci, aby si zajistil, že je ta aplikace bezpečná – nejde vytvořit takový obecný web server, který zabrání nasazené aplikaci v čemkoli nebezpečném.

A k té poznámce na konec, jak jste nepochopil, jak funguje autoaktualizace webových aplikací, třeba WordPressu – pokud má ta aplikace umět zaktualizovat sama sebe, vždy musí mít právo na serveru přepsat soubory aplikace, které jsou „spustitelné“ webovým serverem. To je přece princip aktualizace – že původní aplikaci nahradíte novou verzí.

Ja to taky nechapu. Navic Microsofti bug bounty program se vztahuje i na Azure, tak jim to bezte nareportovat, ne?

citanus006

A k té poznámce na konec, jak jste nepochopil, jak funguje autoaktualizace webových aplikací, třeba WordPressu – pokud má ta aplikace umět zaktualizovat sama sebe, vždy musí mít právo na serveru přepsat soubory aplikace, které jsou „spustitelné“ webovým serverem. To je přece princip aktualizace – že původní aplikaci nahradíte novou verzí.

Akutualizace se da resit jen doplnovanim souboru, nemusi se prepisovat vubec nic. Implmentovano a provereno na tisicich nasazenich. A funguje o tak uz roky roukouci a ano jedna se o webovou aplikaci.

Akutualizace se da resit jen doplnovanim souboru, nemusi se prepisovat vubec nic. Implmentovano a provereno na tisicich nasazenich. A funguje o tak uz roky roukouci a ano jedna se o webovou aplikaci.
V mém komentáři nešlo ani tak o přepisování souborů, ale o změnu chování aplikace. Je celkem jedno, jestli tu změnu implementujete bez přepisování existujících souborů nebo dokonce bez zápisu souborů na disk (protože změny uložíte třeba do databáze).

Navíc pokud si řešíte routování v aplikaci kompletně po svém, pořád je tu možnost chyby v té routovací části aplikace, kterou bez změny souboru neodkážete opravit. Takže můžete aktualizovat velkou část aplikace, ale ne celou aplikaci.