安全厂商Orca在微软云计算服务Azure Service Fabric Explorer,发现一个名为Super FabriXss的跨站脚本漏洞CVE-2023-23383。该漏洞允许未经身份验证的恶意攻击者,在Service Fabric节点托管的容器执行任意程序代码。目前微软已经修复该漏洞。
Azure Service Fabric Explorer可供其云计算用户,大规模打包、部署和管理,无状态与有状态的微服务和容器,该服务支持Windows和Linux操作系统,可以跨地区在云计算、数据中心甚至是个人笔记本上部署容器。
攻击者可以通过向任何Azure Service Fabric用户,发送精心设计的URL以发起Super FabriXss漏洞攻击。该漏洞运用了服务中易受攻击的节点名称参数,使恶意攻击者可以在用户上下文中嵌入iframe。通过该iframe攻击者能够从其服务器检索远程文件,并在iframe上执行恶意脚本,并且创建反向Shell连接。
与正常的Shell连接不同,反向Shell由受害者的Service Fabric节点发起,并且连接到攻击者的服务器,因此能够绕过防火墙与安全措施。
Super FabriXss漏洞存在于Azure Service Fabric Explorer的9.1.1436.9590与更早的版本。在之前,Orca也曾在Azure Service Fabric Explorer发现另一个跨站脚本攻击漏洞FabriXss,但研究人员提到,Super FabriXss比FabriXss更危险,因为Super FabriXss允许未经身份验证的远程攻击者,在托管Service Fabric节点上的容器执行程序代码,这意味攻击者可能取得重要系统的控制权,并对其造成严重损害。