دو آسیبپذیری بحرانی با شناسه CVE-2024-43602 شدت (9.9) و CVE-2024-49060 شدت (8.8) درAzure Microsoft کشف شده است. که در ابزار HCI قابلیت این را به همراه دارد دسترسی خود را از کاربر معمولی به مدیر (administrator) تغییر دهد و در ابزار HPC جهت مدیریت محیطهای محاسبات با کارایی بالا طراحی شده است. مهاجم با مجوزهای اولیه کاربر و دسترسی به شبکه میتواند به ارسال درخواستهای خاص بپردازد و در نتیجه پیکربندی یک گروه از Azure CycleCloud را تغییر دهد. بهرهبرداری از این دو آسیبپذیری میتواند منجر به افزایش سطح دسترسی مهاجم شود که از این طریق، دستورات دلخواه را اجرا کند.
محصولات آسیبپذیر
نسخههای زیر تحت تأثیر این آسیبپذیری قرار گرفتهاند:
• Azure CycleCloud 8.0.0
• Azure CycleCloud 8.0.2
• Azure CycleCloud 8.1.0
• Azure CycleCloud 8.1.1
• Azure CycleCloud 8.2.0
• Azure CycleCloud 8.2.1
• Azure CycleCloud 8.2.2
• Azure CycleCloud 8.3.0
• Azure CycleCloud 8.4.0
• Azure CycleCloud 8.4.1
• Azure CycleCloud 8.4.2
• Azure CycleCloud 8.5.0
• Azure CycleCloud 8.6.0
• Azure CycleCloud 8.6.1
• Azure CycleCloud 8.6.2
• Azure CycleCloud 8.6.3
• Azure CycleCloud 8.6.4
توصیه امنیتی
به کاربران توصیه میشود جهت رفع این آسیبپذیری مراحل زیر را اجرا کنند:
• در اسرع وقت آخرین به روز رسانی های امنیتی را برای Azure CycleCloud اعمال کنید.
• جهت کاهش بهره برداری احتمالی از سوی مهاجم ، مجوزهای کاربر را بررسی و محدود کنید.
منابع خبر:
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43602
[2]https://www.theregister.com/2024/11/13/november_patch_tuesday/
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-49060
[4]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49060
[5]https://windowsforum.com/threads/cve-2024-49060-urgent-azure-stack-hci-vulnerability-needs-attentio…
- 76