Cross-site scripting (XSS)-ում Microsoft Azure HDInsight ծառայության վերաբերյալ մի քանի նոր խոցելիություն է ի հայտ եկել, որոնք կարող են ակտիվորեն կիրառվել հաքերների կողմից՝ չարամտված հարձակումներ իրականացնելու նպատակով:
Խոցելիությունների հետքերը նկատվեցին այն ժամանակ, երբ համանման խոցելիություններ գրանցվեցին նաև Azure Bastion-ում և Azure Container Registry-ում, որոնք կիրառվում էին տվյալների չարտոնված մուտքի և փոփոխությունների համար:
Խոցելիությունների ցանկը հետևյալն է՝
- CVE-2023-35393 (CVSS կատալոգում միավորը՝ 4.5) – Azure Apache Hive-ի կեղծման խոցելիություն
- CVE-2023-35394 (CVSS կատալոգում միավորը՝ 4.6) – Azure HDInsight Jupyter-ի Notebook կեղծման խոցելիություն
- CVE-2023-36877 (CVSS կատալոգում միավորը՝ 4.5) – Azure Apache Oozie-ի կեղծման խոցելիություն
- CVE-2023-36881 (CVSS կատալոգում միավորը՝ 4.5) – Azure Apache Ambari-ի կեղծման խոցելիություն
- CVE-2023-38188 (CVSS կատալոգում միավորը՝ 4.5) – Azure Apache Hadoop-ի կեղծման խոցելիություն
XSS հարձակումները տեղի են ունենում, երբ հաքերները օրինական վեբկայքում rogue script-եր են inject անում, որոնք հետագայում կայք այցելելիս գործարկվում են օգտատերերի վեբ բրաուզերներում: Մինչ reflected XSS-ը թիրախավորում է այն օգտատերերին, ովքեր չիմանալով են սեղմել կեղծ հղման վրա, stored XSS-ը ներդրված է վեբ էջում և միանգամից ազդում է այն բոլոր համակարգիչների վրա, որոնք մուտք են գործում տվյալ հղում:
Cloud-ային ընկերությունն ասում է, որ բոլոր խոցելիությունները բխում են input sanitization-ի բացակայությունից, որը վնասակար նիշերը render է անում dashboard-ը բեռնելիս:
«Այս բոլոր թույլ կողմերի հանրագումարը հաքերներին թույլ է տալիս համակարգը վնասող script-եր ավելացնել և խափանել աշխատանքը», – նշում է Բեն Շիթրիտը, կազմակերպություններին կոչ անելով իրականացնել համապատասխան մուտքային վավերացում և ելքային կոդավորում:
Աղբյուրը՝ https://thehackernews.com/