Azure Service Fabric Explorer 的 XSS 漏洞

关键要点

Azure Service Fabric Explorer (SFX) 存在一个跨站脚本XSS漏洞，允许未经身份验证的远程攻击者执行代码，这意味着攻击者可能在一个 Azure Service Fabric 节点上操作容器。

在 3 月 30 日的 博文 中，Orca Security 的研究人员展示了如何利用 SFX 的 XSS 漏洞，滥用指标选项卡并启用控制台中的“集群类型”切换，实现未经身份验证的远程代码执行RCE。

研究人员表示，这一名为“Super FabriXss”的 XSS 漏洞，其风险级别超过了去年 10 月报告的 FabricXss 漏洞。由于远程未经验证的攻击者可以在 Service Fabric 节点上执行代码，这意味着攻击者能够控制关键系统，并利用 Super FabriXss 漏洞造成重大损害。

Orca Security 已将此新漏洞报告给 Microsoft Security Response Center (MSRC)，该中心对此进行了调查，并将其指定为 CVE202323383 CVSS 82，严重性评级为“重要”。

微软随后发布了修复补丁，并将其纳入本月的 补丁周二3 月 14 日。Orca 的研究人员表示，如果启用了自动更新，安全团队无需采取进一步措施。

Zane Bond，Keeper Security 的产品负责人提到，Azure 的漏洞需要用户交互，并且攻击复杂度较高，这通常会降低评分。但由于这是在云平台上进行的远程代码执行，安全团队应尽快解决 Super FabriXss 漏洞。

Bond 还指出，安全团队需确保有良好的补丁管理流程。“如果出现严重问题，组织的补丁计划和日程是否能够快速安装补丁？”Bond 表示，“如果不能，就有改进补丁策略的空间。”

最近的研究涵盖了一种有趣的攻击，如果微软没有及时修复，这可能会成为问题。Mike Parkin 指出，这是一个相对复杂的攻击路径，需要多种特定条件来执行，从而降低了攻击者在现实中利用该漏洞的机会。

“美国国家标准与技术研究院NIST对该漏洞的 NVD 得分为 54，利用风险仅为 23，这与研究人员对其概念验证的描述一致，”Parkin 解释道。“需要注意的是，NIST 使用特定的公式来确定风险评分，并且他们对其方法有详细的文档，尽管有时计算得分与分析师的评估不同。尽管我并不总是同意他们的评分，但通常评分是合理的。”