Microsoft met en garde contre l’abus potentiel des Azure Service Tags par des acteurs malveillants pour forger des requêtes provenant d’un service de confiance et contourner les règles de pare-feu, leur permettant ainsi d’obtenir un accès non autorisé aux ressources cloud.
« Cette affaire met en évidence un risque inhérent à l’utilisation des balises de service comme mécanisme unique pour contrôler le trafic réseau entrant », a déclaré le Microsoft Security Response Center (MSRC). dit dans une orientation publiée la semaine dernière.
« Les balises de service ne doivent pas être traitées comme une limite de sécurité et ne doivent être utilisées que comme mécanisme de routage en conjonction avec des contrôles de validation. Les balises de service ne constituent pas un moyen complet de sécuriser le trafic vers l’origine d’un client et ne remplacent pas la validation des entrées pour éviter les vulnérabilités. qui peuvent être associés à des requêtes Web. »
La déclaration fait suite aux conclusions de la société de cybersécurité Tenable, qui a constaté que les clients Azure dont les règles de pare-feu reposent sur Azure Service Tags pourraient être contournés. Il n’y a aucune preuve que cette fonctionnalité ait été exploitée dans la nature.
Le problème, à la base, vient du fait que certains services Azure autorisent le trafic entrant via une étiquette de service, permettant potentiellement à un attaquant d’un client d’envoyer des requêtes Web spécialement conçues pour accéder aux ressources d’un autre client, en supposant qu’il ait été configuré pour autorise le trafic à partir du numéro de service et n’effectue aucune authentification propre.
Au moins 10 services Azure ont été jugés vulnérables : Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer et Azure Chaos Studio.
« Cette vulnérabilité permet à un attaquant de contrôler les requêtes côté serveur, usurpant ainsi l’identité des services Azure fiables », a déclaré Liv Matan, chercheuse chez Tenable. dit. « Cela permet à l’attaquant de contourner les contrôles réseau basés sur les balises de service, qui sont souvent utilisées pour empêcher l’accès public aux actifs, données et services internes des clients Azure. »
En réponse à la divulgation fin janvier 2024, Microsoft a mis à jour la documentation pour indiquer explicitement que « les balises de service à elles seules ne suffisent pas à sécuriser le trafic sans tenir compte de la nature du service et du trafic qu’il envoie ».
Il est également recommandé aux clients de revoir leur utilisation des balises de service et de s’assurer qu’ils ont adopté des mesures de sécurité adéquates pour authentifier uniquement le trafic réseau approuvé pour les balises de service.