Microsoft ostrzega przed możliwymi nadużyciami ze strony hakerów
10.06.2024
Luka w Azure Service Tags: Microsoft ostrzega przed możliwymi nadużyciami ze strony hakerów
Microsoft ostrzega przed możliwością nadużycia Azure Service Tags przez złośliwych aktorów, którzy mogą podszywać się pod zaufane usługi i omijać zasady firewalla, co pozwala im na nieautoryzowany dostęp do zasobów chmurowych.
„Ten przypadek pokazuje wrodzone ryzyko związane z używaniem tagów serwisowych jako jedynego mechanizmu weryfikacji przychodzącego ruchu sieciowego,” podkreśliło Microsoft Security Response Center (MSRC) w wytycznych wydanych w zeszłym tygodniu.
„Tagi serwisowe nie powinny być traktowane jako granica bezpieczeństwa i powinny być używane jedynie jako mechanizm routingu w połączeniu z kontrolami walidacji. Tagi serwisowe nie są kompleksowym sposobem zabezpieczania ruchu do źródła klienta i nie zastępują walidacji wejściowej w celu zapobiegania lukom bezpieczeństwa związanym z żądaniami sieciowymi.” Oświadczenie to jest odpowiedzią na ustalenia firmy Tenable zajmującej się cyberbezpieczeństwem, która odkryła, że klienci Azure, których zasady firewalla opierają się na Azure Service Tags, mogą być omijani. Nie ma dowodów na to, że funkcja ta była wykorzystywana na wolności.
Problem polega na tym, że niektóre usługi Azure umożliwiają ruch przychodzący za pośrednictwem tagu serwisowego, co potencjalnie pozwala atakującemu z jednego najemcy na wysyłanie specjalnie przygotowanych żądań sieciowych do zasobów w innym najemcy, zakładając, że zostały one skonfigurowane do akceptowania ruchu z tagu serwisowego i nie przeprowadzają własnej autoryzacji.
Zidentyfikowano co najmniej 10 usług Azure podatnych na ten problem: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer oraz Azure Chaos Studio.
„Ta luka pozwala atakującemu kontrolować żądania po stronie serwera, co umożliwia podszywanie się pod zaufane usługi Azure,” powiedział badacz Tenable Liv Matan. „Pozwala to atakującemu na ominięcie kontroli sieciowych opartych na tagach serwisowych, które często są używane do zapobiegania publicznemu dostępowi do wewnętrznych zasobów, danych i usług klientów Azure.”
W odpowiedzi na ujawnienie tego problemu pod koniec stycznia 2024 roku, Microsoft zaktualizował dokumentację, aby wyraźnie zaznaczyć, że „Same tagi serwisowe nie są wystarczające do zabezpieczenia ruchu bez uwzględnienia charakteru usługi i wysyłanego przez nią ruchu.”
Zaleca się również, aby klienci dokonali przeglądu swojego użycia tagów serwisowych i upewnili się, że wdrożyli odpowiednie zabezpieczenia, aby autoryzować tylko zaufany ruch sieciowy dla tagów serwisowych.
Dawid Lis
Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.
Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.
Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.
