Binary Security’deki güvenlik araştırmacıları, Microsoft’un Azure API Yönetimi (APIM) hizmetinde, temel Okuyucu izinlerine sahip saldırganların hizmetin tam yönetim kontrolünü ele geçirmesine olanak verebilecek kritik güvenlik açıklarını ortaya çıkardı.
En ciddi güvenlik açığı, yönetim erişim belirteçlerini elde etmek için eski API sürümlerinden yararlanmayı içerir.
Okuyucu rolü izinlerine sahip bir saldırgan, amaçlanan tüm erişim kontrollerini etkili bir şekilde atlayarak APIM Management API’ye tam yönetim ayrıcalıkları veren bir SSO belirtecini alabilir.
Araştırmacılar; abonelik anahtarları, OAuth kimlik bilgileri ve entegrasyon anahtarları da dahil olmak üzere hassas bilgileri açığa çıkarabilecek çeşitli güvenlik açıkları keşfettiler.
Strategies to Defend Websites & APIs from Malware Attack -> Free Webinar
Saldırganlar, Azure Resource Manager (ARM) API’nin eski sürümlerinden yararlanarak bu sözde kısıtlı kaynaklara erişebilir.
En endişe verici bulgu, kullanımdan kaldırılmış bir API uç noktası aracılığıyla yönetimsel SSO belirteçleri oluşturma yeteneğini içeriyor.
Bu belirteç, Yönetim API’sine karşı tam ayrıcalıklarla kimlik doğrulaması yapabilir ve saldırganların yeni API’ler dağıtmasına, mevcut API’leri değiştirmesine ve tüm hassas bilgilere erişmesine olanak tanır.
Güvenlik açıkları ilk olarak Şubat 2023’te Microsoft’a bildirildi. Microsoft bazı sorunları gidermiş olsa da eski API güvenlik açıklarının çoğu hâlâ istismar edilebilir durumda.
Şirket, eski API’leri Haziran 2024’e kadar devre dışı bırakmayı planlıyor, ancak yeni APIM dağıtımları bu güvenlik açığı bulunan API’leri varsayılan olarak etkinleştirmeye devam ediyor.
Güvenlik Önerileri
İkili Güvenlik çeşitli azaltma stratejileri önerir:
- Yönetim arayüzlerine ağ düzeyinde erişimi kısıtlayın
- VNET’leri, atlama ana bilgisayarlarını ve ayrılmış CI/CD IP adreslerini uygulayın
- APIM hizmetlerinde eski API’leri hemen devre dışı bırakın
- Eski API sürümlerinin kullanımını önlemek için Yönetim API Ayarlarını yapılandırın
Bu güvenlik açıkları, yetkisiz kullanıcıların şunları yapmasına olanak verebileceğinden, Azure API Management kullanan kuruluşlar için önemli riskler oluşturur:
- API’leri dağıtın veya değiştirin
- Hassas yapılandırma verilerine erişin
- Abonelik anahtarlarını ve kimlik bilgilerini okuyun
- APIM hizmetinin tam kontrolünü elinize alın
Microsoft’un bu bulgulara yanıtı karışık oldu; bazı düzeltmeler uygulandı ancak diğerleri beklemede kaldı.
Güvenlik araştırmacıları, Microsoft’un güvenlik açıklarını ele alma konusundaki hayal kırıklığını dile getirerek, değişikliklerin uygun iletişim olmadan yapıldığını ve bulguların ciddiyetine rağmen herhangi bir ödül verilmediğini belirtti.
Azure API Management kullanan kuruluşların, bu güvenlik açıklarından yararlanma olasılığına karşı koruma sağlamak için güvenlik yapılandırmalarını gözden geçirmeleri ve önerilen azaltıcı önlemleri uygulamaları önemle tavsiye edilir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!