Корпорация Майкрософт предупреждает о возможном злоупотреблении служебными тегами Azure злоумышленниками для подделки запросов от доверенной службы и обхода правил брандмауэра, что позволяет им получать несанкционированный доступ к облачным ресурсам.
"Этот случай подчеркивает неотъемлемый риск использования служебных тегов в качестве единого механизма проверки входящего сетевого трафика", - сказал Центр реагирования на безопасность Microsoft (MSRC) в руководстве, опубликованном на прошлой неделе.
"Служебные теги не следует рассматривать как границу безопасности и их следует использовать только как механизм маршрутизации в сочетании с элементами управления проверкой. Служебные теги не являются комплексным способом защиты трафика, поступающего к источнику клиента, и не заменяют проверку входных данных для предотвращения уязвимостей, которые могут быть связаны с веб-запросами."
Заявление сделано в ответ на выводы фирмы по кибербезопасности Tenable, которая обнаружила, что клиенты Azure, чьи правила брандмауэра зависят от служебных тегов Azure, могут быть обойдены. Нет никаких доказательств того, что эта функция использовалась в естественных условиях.
Проблема, по своей сути, проистекает из того факта, что некоторые службы Azure разрешают входящий трафик через служебный тег, потенциально позволяя злоумышленнику в одном клиенте отправлять специально созданные веб-запросы для доступа к ресурсам в другом, предполагая, что он настроен на разрешение трафика из служебного тега и не выполняет никакой собственной аутентификации.
По меньшей мере 10 служб Azure были признаны уязвимыми: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer и Azure Chaos Studio.
"Эта уязвимость позволяет злоумышленнику контролировать запросы на стороне сервера, выдавая себя, таким образом, за доверенные службы Azure", - сказал исследователь Tenable Лив Матан. "Это позволяет злоумышленнику обходить сетевые средства управления на основе служебных тегов, которые часто используются для предотвращения публичного доступа к внутренним активам, данным и службам клиентов Azure".
В ответ на раскрытие информации в конце января 2024 года Microsoft обновила документацию, недвусмысленно отметив, что "одних служебных тегов недостаточно для защиты трафика без учета характера сервиса и трафика, который он отправляет".
Также рекомендуется, чтобы клиенты пересмотрели использование служебных тегов и убедились, что они приняли надлежащие меры безопасности для проверки подлинности только доверенного сетевого трафика для служебных тегов.
