CRITICAL✓ PATCH🇬🇧 English

CVE-2024-43602

RCE w Microsoft Azure CycleCloud — podatność na zdalne wykonanie kodu

CVSS 9.9v3.1pub. 2024-11-12upd. 2024-11-19

Krytyczna podatność w Microsoft Azure CycleCloud umożliwia uwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Ze względu na wynik CVSS 9.9 oraz zakres oddziaływania obejmujący zasoby poza bezpośrednim komponentem, stanowi poważne zagrożenie dla środowisk chmurowych HPC.

Pokaż oryginał (EN)

Azure CycleCloud Remote Code Execution Vulnerability

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej autoryzacji (CWE-285), co oznacza, że mechanizm kontroli dostępu nie weryfikuje prawidłowo uprawnień żądającego użytkownika. Atakujący posiadający konto z niskim poziomem uprawnień może wysłać specjalnie spreparowane żądanie sieciowe bez konieczności interakcji ze strony ofiary. Skuteczne wykorzystanie podatności prowadzi do wykonania dowolnego kodu w kontekście serwera Azure CycleCloud.

Skutki

Atakujący może przejąć pełną kontrolę nad instancją Azure CycleCloud, uzyskując możliwość odczytu i modyfikacji danych oraz zakłócenia działania zarządzanych klastrów obliczeniowych. Zakres oddziaływania wykracza poza bezpośrednio podatny komponent (S:C), co stwarza ryzyko lateral movement w obrębie infrastruktury chmurowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43602. Zaleca się niezwłoczne wdrożenie aktualizacji oraz ograniczenie dostępu do interfejsu zarządzania Azure CycleCloud wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Microsoft Azure CycleCloud — wersje wskazane w referencjach producenta (Microsoft Security Response Center).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Microsoft Azure Cyclecloud

    APP
    Microsoft
    8.0.0 – 8.6.5 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-43469HIGH8.8ten sam produkt

Azure CycleCloud Remote Code Execution Vulnerability

CVE-2024-38195HIGH7.8ten sam produkt

Azure CycleCloud Remote Code Execution Vulnerability

CVE-2024-38092HIGH8.8ten sam produkt

Azure CycleCloud Elevation of Privilege Vulnerability

CVE-2024-29993HIGH8.8ten sam produkt

Azure CycleCloud Elevation of Privilege Vulnerability

CVE-2022-41085HIGH7.5ten sam produkt

Azure CycleCloud Elevation of Privilege Vulnerability