Microsoft advierte sobre el posible abuso de las etiquetas de servicio de Azure por parte de actores maliciosos para falsificar solicitudes de un servicio confiable y eludir las reglas del firewall, permiti\u00e9ndoles as\u00ed obtener acceso no autorizado a los recursos de la nube.<\/p>\n
“Este caso resalta un riesgo inherente al uso de etiquetas de servicio como mecanismo \u00fanico para examinar el tr\u00e1fico de red entrante”, dijo el Centro de Respuesta de Seguridad de Microsoft (MSRC) dicho<\/a> en una gu\u00eda publicada la semana pasada.<\/p>\n “Las etiquetas de servicio no deben tratarse como un l\u00edmite de seguridad y solo deben usarse como un mecanismo de enrutamiento junto con los controles de validaci\u00f3n. Las etiquetas de servicio no son una forma integral de proteger el tr\u00e1fico hacia el origen de un cliente y no reemplazan la validaci\u00f3n de entrada para evitar vulnerabilidades. que pueden estar asociados con solicitudes web.”<\/p>\n La declaraci\u00f3n surge en respuesta a los hallazgos de la firma de ciberseguridad Tenable, que descubri\u00f3 que los clientes de Azure cuyas reglas de firewall dependen de Azure Service Tags podr\u00edan ser eludidos. No hay evidencia de que la caracter\u00edstica haya sido explotada en la naturaleza.<\/p>\n El problema, en esencia, surge del hecho de que algunos de los servicios de Azure permiten el tr\u00e1fico entrante a trav\u00e9s de una etiqueta de servicio, lo que potencialmente permite que un atacante en un inquilino env\u00ede solicitudes web especialmente dise\u00f1adas para acceder a recursos en otro, suponiendo que se haya configurado para permite el tr\u00e1fico desde la etiqueta de servicio y no realiza ninguna autenticaci\u00f3n propia.<\/p>\n Se han encontrado vulnerables 10 servicios de Azure: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer y Estudio del caos azul.<\/p>\n “Esta vulnerabilidad permite a un atacante controlar las solicitudes del lado del servidor, haci\u00e9ndose pasar por servicios confiables de Azure”, dijo la investigadora de Tenable Liv Matan. dicho<\/a>. “Esto permite al atacante eludir los controles de red basados \u200b\u200ben etiquetas de servicio, que a menudo se utilizan para impedir el acceso p\u00fablico a los activos, datos y servicios internos de los clientes de Azure”.<\/p>\n En respuesta a la divulgaci\u00f3n de finales de enero de 2024, Microsoft ha actualizado<\/a> la documentaci\u00f3n para se\u00f1alar expl\u00edcitamente que “las etiquetas de servicio por s\u00ed solas no son suficientes para proteger el tr\u00e1fico sin considerar la naturaleza del servicio y el tr\u00e1fico que env\u00eda”.<\/p>\n Tambi\u00e9n se recomienda que los clientes revisen su uso de las etiquetas de servicio y se aseguren de haber adoptado medidas de seguridad adecuadas para autenticar \u00fanicamente el tr\u00e1fico de red confiable para las etiquetas de servicio.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Vulnerabilidad-de-etiquetas-de-servicio-de-Azure-Microsoft-advierte-sobre.gif\")
<\/a><\/center><\/div>\n