Krytyczna podatność w Microsoft Azure CycleCloud umożliwia uwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Ze względu na wynik CVSS 9.9 oraz zakres oddziaływania obejmujący zasoby poza bezpośrednim komponentem, stanowi poważne zagrożenie dla środowisk chmurowych HPC.
▸ Pokaż oryginał (EN)
Azure CycleCloud Remote Code Execution Vulnerability
Podatność wynika z nieprawidłowej autoryzacji (CWE-285), co oznacza, że mechanizm kontroli dostępu nie weryfikuje prawidłowo uprawnień żądającego użytkownika. Atakujący posiadający konto z niskim poziomem uprawnień może wysłać specjalnie spreparowane żądanie sieciowe bez konieczności interakcji ze strony ofiary. Skuteczne wykorzystanie podatności prowadzi do wykonania dowolnego kodu w kontekście serwera Azure CycleCloud.
Atakujący może przejąć pełną kontrolę nad instancją Azure CycleCloud, uzyskując możliwość odczytu i modyfikacji danych oraz zakłócenia działania zarządzanych klastrów obliczeniowych. Zakres oddziaływania wykracza poza bezpośrednio podatny komponent (S:C), co stwarza ryzyko lateral movement w obrębie infrastruktury chmurowej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43602. Zaleca się niezwłoczne wdrożenie aktualizacji oraz ograniczenie dostępu do interfejsu zarządzania Azure CycleCloud wyłącznie do zaufanych adresów IP.
Microsoft Azure CycleCloud — wersje wskazane w referencjach producenta (Microsoft Security Response Center).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HMicrosoft Azure Cyclecloud
APPMicrosoft8.0.0 – 8.6.5 (bez)
Powiązane podatności
Azure CycleCloud Remote Code Execution Vulnerability
Azure CycleCloud Remote Code Execution Vulnerability
Azure CycleCloud Elevation of Privilege Vulnerability
Azure CycleCloud Elevation of Privilege Vulnerability
Azure CycleCloud Elevation of Privilege Vulnerability