Як повідомляє Bleeping Computer, дослідники безпеки з Tenable виявили, що вони описують як вразливість високого ступеня серйозності в тегах служби Azure, яка може дозволити зловмисникам отримати доступ до особистих даних клієнтів.
Сервісні теги – це групи IP-адрес для певної служби Azure, що використовуються для фільтрації брандмауера та списків контролю доступу (ACL) на основі IP, коли для захисту ресурсів Azure потрібна ізоляція мережі. Це досягається шляхом блокування вхідного чи вихідного інтернет-трафіку та дозволу лише трафіку служби Azure.
Фахівці Tenable пояснюють, що зловмисники можуть використовувати цю вразливість для створення шкідливих вебзапитів, подібних до SSRF, щоб імітувати надійні служби Azure й обходити правила брандмауера на основі відповідних тегів, які часто використовуються для захисту служб Azure та конфіденційних даних без перевірки автентифікації.
Зловмисники можуть використовувати функцію перевірка доступності у функціональності «Класичний тест» або «Стандартний тест», що дає їм змогу отримати доступ до внутрішніх служб і потенційно викрити внутрішні API, розміщені на портах 80/443.
Цього можна досягти, зловживаючи функцією перевірки доступності служби Application Insights Availability, яка надає зловмисникам можливість за потреби додавати власні заголовки, змінювати методи та налаштовувати свої HTTP-запити.
«Оскільки Microsoft не планує випускати виправлення для цієї вразливості, усі клієнти Azure перебувають під загрозою. Ми наполегливо рекомендуємо клієнтам негайно переглянути централізовану документацію, видану MSRC, і ретельно дотримуватися вказівок», – йдеться у повідомленні.
Дослідники Tenable виявили, що крім Azure Application Insights, це впливає й на інші служби:
- Azure DevOps.
- Azure Machine Learning.
- Azure Logic Apps.
- Azure Container Registry.
- Azure Load Testing.
- Azure API Management.
- Azure Data Factory.
- Azure Action Group.
- Azure AI Video Indexer.
- Azure Chaos Studio.
Щоб запобігти атакам, Tenable радить клієнтам Azure додати додаткові рівні автентифікації й авторизації поверх елементів керування мережею на основі сервісних тегів, щоб захистити свої активи від викриття.
«Під час налаштування мережевих правил служб Azure майте на увазі, що теги служб не є надійним способом захисту трафіку до вашої приватної служби. Забезпечуючи надійну автентифікацію мережі, користувачі можуть захистити себе за допомогою додаткового та важливого рівня безпеки», – наголосили фахівці.
Microsoft не погоджується
Однак корпорація Microsoft не погоджується з оцінкою Tenable про те, що це вразливість Azure.
«Службові теги не слід розглядати як кордон безпеки. Їх слід використовувати лише як механізм маршрутизації у поєднанні з елементами контролю перевірки. Сервісні теги не є комплексним способом захисту трафіку до джерела клієнта та не замінюють перевірку введених даних для запобігання вразливостям, які можуть бути пов’язані із вебзапитами», – йдеться у повідомленні.
Компанія заявляє, що додаткові перевірки авторизації та автентифікації необхідні для багаторівневого підходу до безпеки мережі, щоб захистити кінцеві точки служби Azure клієнтів від спроб несанкціонованого доступу.
У Microsoft стверджують, що їхня команда безпеки й треті сторони не знайшли доказів використання або зловживання службовими тегами під час атак.
ProIT нагадує: оновіть Google Chrome прямо зараз, щоб усунути вразливість zero-day.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!