Azure API Yönetimi’nde (APIM) yakın zamanda kritik bir güvenlik açığı keşfedildi. Bu güvenlik açığı, Okuyucu düzeyinde erişime sahip kullanıcıların ayrıcalıklarını Katkıda Bulunan düzeyinde erişime eşdeğer bir düzeye yükseltmesine olanak tanıyor.
Bu güvenlik açığı, kullanıcıların Doğrudan Yönetim API’si aracılığıyla APIM kaynağının yapılandırmalarını okumasına, değiştirmesine ve hatta silmesine olanak sağladı.
Binary Security araştırmacılarına göre güvenlik açığı, APIM kaynağını okurken veya dağıtırken kullanılan Azure Kaynak Yöneticisi (ARM) API’sindeki bir kusurdan kaynaklanıyor.
Microsoft daha önce yeni API sürümlerinde Reader düzeyindeki kullanıcıların hassas bilgilere erişmesini engellemek için kısıtlamalar eklemişti ancak hata bu kısıtlamaları aştı.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Bu güvenlik açığından yararlanmak için, Reader erişimine sahip bir saldırganın, varsayılan yönetici kullanıcısının anahtarlarını elde etmek için belirli bir ARM API uç noktasını çağırması yeterli olabilir.
Bu anahtarlar daha sonra SharedAccessSignatures oluşturmak için kullanılabilir ve saldırgana Doğrudan Yönetim API’si aracılığıyla APIM kaynağında herhangi bir yönetim işlemi gerçekleştirmek için tam erişim hakkı verir.
Güvenlik açığının önemli bir etkisi oldu çünkü yetkisiz kullanıcıların yüksek ayrıcalıklar elde etmesine ve potansiyel olarak APIM kaynağının ve ilişkili API’lerinin güvenliğini tehlikeye atmasına olanak sağlıyordu.
Saldırganlar abonelik anahtarlarını, kimlik sağlayıcı anahtarlarını ve adlandırılmış değer sırlarını listeleyerek Azure, Entra ID ve diğer entegre sistemlere daha fazla erişim elde edebilir ve raporu okuyabilir.
Microsoft, bildirimden itibaren bir ay içinde, Reader ayrıcalıklarına sahip kullanıcılar için etkilenen ARM API’sine erişimi kısıtlayarak bu açığı giderdi. Düzeltme, APIM’nin tüm örneklerine geriye dönük olarak uygulandı.
Bu güvenlik açığı düzeltilmiş olsa da kritik Azure kaynaklarını korumak için derinlemesine savunma önlemlerinin uygulanmasının önemi vurgulanıyor.
Uzmanlar kritik kaynakların özel hale getirilmesini ve yalnızca kendi sanal ağlarından (VNET) ve dağıtıma bağlı olarak CI/CD çalıştırıcılarından erişilebilir olmasını öneriyor.
Gelecekte Azure kaynaklarında daha fazla güvenlik açığının keşfedilme olasılığı yüksek olduğundan, kuruluşlar tetikte olmalı ve olası riskleri azaltmak için güvenlik uygulamalarını proaktif bir şekilde uygulamalıdır.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin