研究人员发现Azure一个跨租户网络绕过漏洞,允许攻击者跨租户访问Azure认知搜索(Azure Cognitive Search,ACS)私有执行实例中的资料。微软已在今年8月悄悄修补。
Azure认知搜索(Azure Cognitive Search,ACS)是一项相当受欢迎的全文搜索引擎,可让客户以索引很快搜索到资料。ACS支持多种搜索方式,像是纯文本搜索、autocomplete、模糊搜索或地点搜索。
今年2月安全厂商Mnemonic研究人员Emilien Socchi发现,Azure ACS一项功能“Allow access from Portal”(下图红框处),可令用户从Azure Portal访问ACS的资料层,即便防火墙已激活了严格的设置,像是仅开放ACS资源给极少数公开端点、私有端点或完全不暴露于外部网络等情形。经过分析,他发现这是一项漏洞,他将之称为ACSESSED。
图片来源/Mnemonic
ACSESSED漏洞出现在ACS API,它的绕过(bypass)属性允许特定来源绕过所有执行实例防火墙配置中的所有网络规则,意即可以从Azure Portal直接访问ACS执行实例的资料层。
研究人员指出,一旦激活“Allow access from Portal”功能,Azure客户即允许其他人从任何地点跨租户访问ACS的资料层,不论ACS执行实例的实际网络配置为何。这功能一经激活也等于移除了整个网络参数,同时未提供任何身份参数(即任何人都可以产生有效的ARM(Azure Resource Manager)访问令牌)。
研究人员于2月底通报微软ACSESSED漏洞,并将其列为权限扩展漏洞。微软于3月底证实,而且由于本漏洞可导致跨租户攻击,且容易滥用,因而将风险值由中度提升为“重要”,不过并未编派漏洞编号。
微软于3月发给研究人员10,000美元漏洞挖掘奖金,最后在8月发布修补程序。
LEKSHOP获悉,近日,亚马逊发布有关“现已推出‘订单商品最少数量’功能”的通知,通知原文如下: 亚马逊正在将“订单商品最少数量”功能推广到英国、德国、法国、意大利和西班牙商城的卖家。 您可以使用此功能降低运费并增加目录中低价商品的数量。 (编辑:江同) (…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
