Token güvenlik uzmanları son zamanlarda Microsoft Azure’un rol tabanlı erişim kontrolü (RBAC) mimarisinde ciddi güvenlik zayıflıklarını ortaya çıkaran kapsamlı bir soruşturma gerçekleştirdi.
Bulut platformunda izin yönetiminin bel kemiği olan Azure RBAC, yöneticilerin tüm aboneliklerden belirli kaynaklara kadar değişen kapsamlarda önceden tanımlanmış izinleri olan kullanıcılara, gruplara veya hizmet ilkelerine rol atamasına olanak tanır.
Bununla birlikte, soruşturma, sınırlı, hizmete özgü erişim sağlamayı amaçlayan birkaç yerleşik rolün aşırı ayrıcalıklarla yanlış yapılandırıldığını ortaya koymuştur.
Yönetilen Uygulamalar Okuyucu ve Log Analytics Reader gibi roller, toplam 10 tanımlanmış, aşırı geniş bir */read jenerik etkili bir şekilde yansıtma izin Okuyucu rol.
Bu, açıklamalarının önerdiklerinin çok ötesinde, tüm Azure kaynaklarında hassas meta verilere erişim sağlar.
Bu tür aşırı ayrıcalık, saldırganların otomasyon hesaplarından kimlik bilgilerini çıkarmasını, daha fazla sömürü için harita ağı yapılandırmalarını ve depolama hesaplarında veya yedekleme tonozlarında kritik verileri ortaya çıkarmasını sağlayarak ayrıcalık artış ve saldırı planlaması için verimli bir zemin oluşturabilir.
VPN önceden paylaşılan tuşları sızdırmak için Azure API’sını sömürmek
Sorunu birleştiren araştırmacılar, Azure API’sında yalnızca okuma izinlerini kullanarak VPN ağ geçidi önceden paylaşılan anahtarların (PSK’lar) sızmasına izin veren ciddi bir güvenlik açığı keşfettiler.
Tipik olarak, Azure, HTTP Yöntemi ayrımları yoluyla izinleri uygularken, salt okunan işlemler kullanılırken, hassas veri alımları yetkisiz erişimi engellemek için sonrası isteklerle korunur.
Ancak, API tasarımındaki bir gözetim, VPN bağlantısının paylaşılan anahtar alımının bir GET isteği olarak uygulanmasına ve amaçlanan güvenlik kontrollerini atlamasına yol açtı.
Bu kusur, genellikle yukarıda belirtilen aşırı ayrı roller aracılığıyla elde edilen minimal okuma erişimine sahip bir saldırganın, site-saha (S2S) VPN bağlantıları için PSK’yı getirmesine izin verir.
Bu anahtarla donanmış, kötü niyetli bir aktör, dahili bulut varlıklarına, sanal özel bulutlara (VPC’ler) ve hatta Azure VPN ağ geçidi aracılığıyla bağlantılı şirket içi ağlar için yetkisiz giriş kazanarak haydut bir bağlantı kurabilir.
Bu güvenlik açığı, görünüşte zararsız bir okuma iznini, özellikle bulut ve şirket içi sistemlerin kesiştiği hibrid ortamlarda yıkıcı olan derin ağ infiltrasyonu için bir ağ geçidine dönüştürür.
Microsoft’un yanıtı
Açıklama üzerine Microsoft, aşırı ayrıcalıklı rolleri ‘düşük şiddet’ sorunu olarak sınıflandırdı, rollerin izinlerini kısıtlamak yerine belgeleri güncellemeyi seçerek kuruluşları potansiyel kötüye kullanmaya maruz bıraktı.
Tersine, VPN PSK sızıntısı ‘önemli olarak kabul edildi’, belirli bir izni zorunlu kılarak hızlı bir düzeltme istedi (Microsoft.Network/connections/sharedKey/action) Anahtar erişim için, araştırmacıya verilen 7.500 dolarlık bir ödülün yanı sıra.
Bu tehditlere karşı korunmak için kuruluşlar, belirlenen aşırı ayrı rollerin kullanımını proaktif olarak denetlemeli ve kısıtlamalı ve bunları gerekli minimum izinlere göre özel rollerle değiştirmelidir.
Rolü genişletme, geniş aboneliklerden ziyade belirli kaynaklara veya kaynak gruplarına sınırlamak riski daha da azaltır.
Bulut güvenliği ortak bir sorumluluk olmaya devam ettikçe, bu olay sağlayıcı araçlarına olan uyanıklık kör güveninin felaket ihlallerine yol açabileceğini vurgulamaktadır.
Sağlam koruma için, Azure ortamlarında kimlik odaklı saldırıları önlemek için izinlerin sürekli izlenmesi ve doğrulanması esastır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt