Microsoft memperingatkan praktik tidak aman di mana pengembang perangkat lunak menggabungkan kunci mesin ASP.NET yang diungkapkan dari sumber daya yang dapat diakses secara publik, sehingga menempatkan aplikasi mereka di jalur penyerang.
Tim ancaman raksasa teknologi itu mengatakan mereka mengamati aktivitas terbatas pada bulan Desember 2024 yang melibatkan aktor ancaman yang tidak diketahui menggunakan kunci mesin ASP.NET statis yang tersedia untuk menyuntikkan kode berbahaya dan memberikan kerangka kerja pasca-eksploitasi Godzilla.
Ini juga mencatat bahwa itu telah mengidentifikasi lebih dari 3.000 kunci yang diungkapkan secara publik yang dapat digunakan untuk jenis serangan ini, yang disebut serangan injeksi kode View -Statsate.
“Sedangkan banyak serangan injeksi kode viewstate yang sebelumnya diketahui menggunakan kunci yang dikompromikan atau dicuri yang sering dijual di forum web gelap, kunci yang diungkapkan secara publik ini dapat menimbulkan risiko yang lebih tinggi karena tersedia dalam beberapa repositori kode dan bisa didorong ke dalam kode pengembangan tanpa modifikasi , “Kata Microsoft.
ViewState adalah metode yang digunakan dalam kerangka ASP.NET untuk mempertahankan halaman dan nilai kontrol antara postback. Ini juga dapat mencakup data aplikasi yang khusus untuk halaman.
“Secara default, lihat data status disimpan di halaman di bidang tersembunyi dan dikodekan menggunakan encoding base64,” Microsoft mencatat dalam dokumentasinya. “Selain itu, hash dari data keadaan tampilan dibuat dari data dengan menggunakan tombol Kode Otentikasi Mesin (Mac). Nilai hash ditambahkan ke data keadaan tampilan yang dikodekan dan string yang dihasilkan disimpan di halaman.”
Dalam menggunakan nilai hash, idenya adalah untuk memastikan bahwa data negara tampilan belum rusak atau dirusak oleh aktor jahat. Yang mengatakan, jika tombol-tombol ini dicuri atau dapat diakses oleh pihak ketiga yang tidak sah, itu membuka pintu ke skenario di mana aktor ancaman dapat memanfaatkan kunci untuk mengirim permintaan view statsate yang berbahaya dan menjalankan kode sewenang-wenang.
“Ketika permintaan diproses oleh ASP.NET Runtime pada server yang ditargetkan, ViewState didekripsi dan divalidasi dengan sukses karena kunci yang tepat digunakan,” kata Redmond. “Kode berbahaya kemudian dimuat ke dalam memori proses pekerja dan dieksekusi, memberikan kemampuan eksekusi kode remote aktor ancaman pada server web target IIS.”
Microsoft telah memberikan daftar nilai hash untuk kunci mesin yang diungkapkan publik, mendesak pelanggan untuk memeriksa mereka terhadap kunci mesin yang digunakan di lingkungan mereka. Ia juga telah memperingatkan bahwa jika terjadi eksploitasi yang sukses dari kunci yang diungkapkan secara publik, hanya memutar kunci tidak akan cukup karena para aktor ancaman mungkin telah menetapkan kegigihan pada tuan rumah.
Untuk mengurangi risiko yang ditimbulkan oleh serangan semacam itu, disarankan untuk tidak menyalin kunci dari sumber yang tersedia untuk umum dan secara teratur memutar kunci. Sebagai langkah lebih lanjut untuk mencegah aktor ancaman, Microsoft mengatakan bahwa pihaknya menghapus artefak kunci dari “contoh terbatas” di mana mereka dimasukkan dalam dokumentasinya.
Pengembangan datang ketika perusahaan keamanan cloud Aqua mengungkapkan rincian bypass gerbang OPA yang dapat dieksploitasi untuk melakukan tindakan tidak sah di lingkungan Kubernetes, termasuk menggunakan gambar kontainer yang tidak sah.
“Dalam kebijakan K8SallowedRepos, risiko keamanan muncul dari bagaimana logika Rego ditulis dalam file ConstraintTemplate,” kata para peneliti Yakir Kadkoda dan Assaf Morag dalam analisis yang dibagikan dengan berita peretas.
“Risiko ini semakin diperkuat ketika pengguna mendefinisikan nilai dalam file kendala YAML yang tidak selaras dengan bagaimana logika Rego memprosesnya. Ketidakcocokan ini dapat mengakibatkan bypass kebijakan, membuat pembatasan tidak efektif.”
