Microsoft Azure’un rol tabanlı erişim kontrol sisteminin, kurumsal ağları yetkisiz erişime maruz bırakabilecek kritik güvenlik açıklarını içerdiği bulunmuştur.
Güvenlik araştırmacıları, bulut altyapısı ve şirket içi ağlardan ödün vermek isteyen kötü niyetli aktörler için tehlikeli saldırı vektörleri oluşturan aşırı ayrı ayrı roller ve API uygulama kusurlarının bir kombinasyonunu belirlediler.
Güvenlik Açıkları, Azure’un bulut platformunun kapsamlı hizmet ekosistemindeki izinleri yöneten rol tabanlı erişim kontrolü (RBAC) sistemi etrafında toplanır.
Temel bir tasarım kusuru gibi görünen şey, adlarının ve açıklamalarının önerdiğinden çok daha geniş izinler veren hizmete özgü birçok rolle sonuçlanmıştır.
Sınırlı idari işlevlere yönelik bu roller, aslında tüm Azure aboneliklerinde tam okuma erişimine eşdeğer sağlar.
.webp)
Keşif, sorunlu “*/okuma” iznini içeren on Azure yerleşik rollerini kapsar ve kullanıcılara 9.618 farklı Azure eylemine etkin bir şekilde erişim sağlar.
“Yönetilen Uygulamalar Okuyucusu”, “Log Analytics Reader” ve “Okuyucuyu İzleme” gibi roller, yöneticileri, atanan kapsamları dahilinde tüm Azure kaynaklarında kapsamlı okuma izinleri verdiklerinde dar, hizmete özgü erişim sağladıklarına inandıklarına inanıyor.
Token analistleri, bu aşırı ayrı rollerin basit bilgi açıklamasının ötesinde önemli güvenlik riskleri oluşturduğunu belirledi.
Evrensel okuma izinleri, saldırganların depolama hesaplarını, veritabanı örneklerini, ağ yapılandırmalarını ve yedek tonozları numaralandırmasını sağlar ve sofistike saldırıların planlanması için ayrıntılı zeka sağlar.
Daha da önemlisi, izinler sık sık gömülü kimlik bilgileri ve hassas ortam değişkenleri içeren dağıtım komut dosyalarına, otomasyon hesaplarına ve web uygulama yapılandırmalarına erişim sağlar.
Araştırmacılar ayrıca Azure’un API uygulamasında, temel okuma izinleri olan kullanıcıların VPN önceden paylaşılan anahtarları belirli bir uç nokta aracılığıyla çıkarmalarına izin veren ayrı ama ilgili bir güvenlik açığı ortaya çıkardılar.
Bu kusur, Azure’un tipik olarak hassas işlemleri talepleri göndermek için kısıtladığı, ancak VPN anahtar alma işlevini bir GET isteği olarak uyguladığı farklı HTTP yöntemleri arasında tutarsız izin uygulanmasından kaynaklanmaktadır.
Saldırı Zinciri Sömürü
Bu güvenlik açıklarının en tehlikeli yönü, hibrid bulut ortamlarını hedefleyen eksiksiz bir saldırı zinciri oluşturmak için kombinasyonlarında yatmaktadır.
.webp)
Görünüşte sınırlı izinlerle kimliği tehlikeye atan bir saldırgan, keşif yapmak için aşırı ayrı rollerden yararlanabilir ve daha sonra ağ erişimi elde etmek için VPN anahtar sızıntısını kullanabilir.
Saldırı dizisi, bir saldırgan sorunlu rollerden biri atanan bir kimlik için kimlik bilgileri aldığında başlar.
Evrensel okuma izinlerini kullanarak, Azure VPN ağ geçidi yapılandırmalarını numaralandırabilir ve savunmasız API uç noktası üzerinden önceden paylaşılan tuşları çıkarabilirler.
Bu anahtarlarla, saldırganlar, kuruluşun özel ağ altyapısına etkili bir şekilde katılarak ve aynı ağ geçidi aracılığıyla bağlı bulut kaynaklarına hem de şirket içi sistemlere erişim kazanarak, sahtekarlık Site-VPN bağlantıları kurabilirler.
Microsoft, VPN güvenlik açığını “önemli” ciddiyet olarak kabul etti ve araştırmacılara 7.500 dolarlık bir ödül kazandırırken, aşırı ayrı rolleri “düşük şiddet” olarak sınıflandırdı ve temel izin sorunlarını çözmek yerine belgeleri güncellemeyi seçti.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi