Некоторые исследователи утверждают, что Azure Service Tags уязвима к уязвимости, которая может позволить киберпреступникам украсть конфиденциальные данные людей, но Microsoft с этим не согласна.
Теги обслуживания Azure — это функция Microsoft Azure, которая упрощает управление сетевой безопасностью, позволяя пользователям определять элементы управления доступом к сети на основе логических групп IP-адресов, а не отдельных IP-адресов. Эти теги службы представляют собой группу префиксов IP-адресов из определенных служб Azure, которые можно использовать в правилах безопасности для групп сетевой безопасности (NSG), настраиваемых маршрутов (UDR) и брандмауэра Azure.
В недавнем отчетИсследователи безопасности из компании Tenable заявили, что хакеры могут использовать эту уязвимость для создания вредоносных веб-запросов, подобных SSRF, для выдачи себя за доверенные службы Azure. Таким образом, все правила брандмауэра, основанные на тегах службы Azure, устаревают.
Механизм маршрутизации
«Это уязвимость высокой степени серьезности, которая может позволить злоумышленнику получить доступ к личным данным клиентов Azure», — написала Лив Матан из Tenable.
Объясняя, откуда взялась уязвимость, Матан рассказал, что функция Application Insights Availability позволяет пользователям создавать тесты доступности для своего приложения или компьютера. Злоумышленники могут злоупотребить «проверкой доступности» функции «классического теста» или «стандартного теста», чтобы раскрыть внутренние API, размещенные на портах 80/443, на которых обычно размещаются веб-ресурсы.
«Поскольку Microsoft не планирует выпускать исправление для этой уязвимости, все клиенты Azure подвергаются риску. Мы настоятельно рекомендуем нашим клиентам немедленно просмотреть централизованную документацию MSRC и внимательно следовать рекомендациям».
По словам Тенабл, помимо службы Azure Application Insights, уязвимыми являются еще десять служб, в том числе Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Индексатор видео Azure AI и Azure Chaos Studio.
Microsoft, с другой стороны, утверждает, что метки обслуживания Azure никогда не предназначались в качестве меры безопасности. ПипКомпьютер сообщил.
«Сервисные теги не следует рассматривать как границу безопасности, их следует использовать только как механизм маршрутизации в сочетании с элементами управления проверкой», — заявили в Microsoft.
«Сервисные теги не являются комплексным методом защиты трафика, поступающего к источнику клиента, и не заменяют проверку ввода для предотвращения уязвимостей, которые могут быть связаны с веб-запросами».
Больше от TechRadar Pro
