Microsoft advierte sobre el posible abuso de las etiquetas de servicio de Azure por parte de actores maliciosos para falsificar solicitudes de un servicio confiable y eludir las reglas del firewall, permitiéndoles así obtener acceso no autorizado a los recursos de la nube.
«Este caso resalta un riesgo inherente al uso de etiquetas de servicio como mecanismo único para examinar el tráfico de red entrante», dijo el Centro de Respuesta de Seguridad de Microsoft (MSRC) dicho en una guía publicada la semana pasada.
«Las etiquetas de servicio no deben tratarse como un límite de seguridad y solo deben usarse como un mecanismo de enrutamiento junto con los controles de validación. Las etiquetas de servicio no son una forma integral de proteger el tráfico hacia el origen de un cliente y no reemplazan la validación de entrada para evitar vulnerabilidades. que pueden estar asociados con solicitudes web.»
La declaración surge en respuesta a los hallazgos de la firma de ciberseguridad Tenable, que descubrió que los clientes de Azure cuyas reglas de firewall dependen de Azure Service Tags podrían ser eludidos. No hay evidencia de que la característica haya sido explotada en la naturaleza.
El problema, en esencia, surge del hecho de que algunos de los servicios de Azure permiten el tráfico entrante a través de una etiqueta de servicio, lo que potencialmente permite que un atacante en un inquilino envíe solicitudes web especialmente diseñadas para acceder a recursos en otro, suponiendo que se haya configurado para permite el tráfico desde la etiqueta de servicio y no realiza ninguna autenticación propia.
Se han encontrado vulnerables 10 servicios de Azure: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer y Estudio del caos azul.
«Esta vulnerabilidad permite a un atacante controlar las solicitudes del lado del servidor, haciéndose pasar por servicios confiables de Azure», dijo la investigadora de Tenable Liv Matan. dicho. «Esto permite al atacante eludir los controles de red basados en etiquetas de servicio, que a menudo se utilizan para impedir el acceso público a los activos, datos y servicios internos de los clientes de Azure».
En respuesta a la divulgación de finales de enero de 2024, Microsoft ha actualizado la documentación para señalar explícitamente que «las etiquetas de servicio por sí solas no son suficientes para proteger el tráfico sin considerar la naturaleza del servicio y el tráfico que envía».
También se recomienda que los clientes revisen su uso de las etiquetas de servicio y se aseguren de haber adoptado medidas de seguridad adecuadas para autenticar únicamente el tráfico de red confiable para las etiquetas de servicio.