Microsoft, Azure Hizmet Etiketlerinin kötü niyetli aktörler tarafından güvenilir bir hizmetten gelen istekleri taklit etmek ve güvenlik duvarı kurallarını aşmak ve böylece bulut kaynaklarına yetkisiz erişim elde etmelerine olanak sağlamak amacıyla kötüye kullanılması olasılığı konusunda uyarıyor.
Microsoft Güvenlik Yanıt Merkezi (MSRC), “Bu durum, hizmet etiketlerinin gelen ağ trafiğini incelemek için tek bir mekanizma olarak kullanılmasının doğasında var olan riski vurgulamaktadır.” söz konusu Geçen hafta yayınlanan bir kılavuzda.
“Hizmet etiketleri bir güvenlik sınırı olarak ele alınmamalıdır ve yalnızca doğrulama kontrolleriyle birlikte bir yönlendirme mekanizması olarak kullanılmalıdır. Hizmet etiketleri, müşterinin kaynağına giden trafiği güvence altına almanın kapsamlı bir yolu değildir ve güvenlik açıklarını önlemek için giriş doğrulamanın yerini almaz. bu, web istekleriyle ilişkili olabilir.”
Açıklama, güvenlik duvarı kuralları Azure Hizmet Etiketlerine dayanan Azure müşterilerinin atlanabileceğini tespit eden siber güvenlik firması Tenable’ın bulgularına yanıt olarak geldi. Bu özelliğin vahşi ortamda istismar edildiğine dair hiçbir kanıt yok.
Sorun, özünde, bazı Azure hizmetlerinin bir hizmet etiketi aracılığıyla gelen trafiğe izin vermesi ve potansiyel olarak bir kiracıdaki bir saldırganın, yapılandırıldığı varsayılarak başka bir kiracıdaki kaynaklara erişmek için özel hazırlanmış web istekleri göndermesine izin vermesi gerçeğinden kaynaklanmaktadır. hizmet etiketinden gelen trafiğe izin verir ve kendi başına herhangi bir kimlik doğrulaması gerçekleştirmez.
10 Azure hizmetinin güvenlik açığı olduğu tespit edildi: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Yük Testi, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer ve Azure Kaos Stüdyosu.
Tenable araştırmacısı Liv Matan, “Bu güvenlik açığı, bir saldırganın sunucu tarafı isteklerini kontrol etmesine ve böylece güvenilir Azure hizmetlerinin kimliğine bürünmesine olanak tanıyor.” söz konusu. “Bu, saldırganın, Azure müşterilerinin dahili varlıklarına, verilerine ve hizmetlerine genel erişimi engellemek için sıklıkla kullanılan Hizmet Etiketlerine dayalı ağ kontrollerini atlamasına olanak tanıyor.”
Ocak 2024’ün sonlarında yapılan açıklamaya yanıt olarak Microsoft, güncellenmiş belgelerde açıkça “Hizmet Etiketleri, hizmetin niteliği ve gönderdiği trafik dikkate alınmaksızın trafiğin güvenliğini sağlamak için tek başına yeterli değildir.” ifadesi yer almaktadır.
Ayrıca müşterilerin hizmet etiketi kullanımlarını gözden geçirmeleri ve hizmet etiketleri için yalnızca güvenilir ağ trafiğinin kimliğini doğrulamak için yeterli güvenlik korkuluklarını benimsediklerinden emin olmaları önerilir.