Azure API Yönetimi Geliştirici Portalı’ndaki kritik bir güvenlik açığı, kullanıcı kaydı açıkça devre dışı bırakıldığında bile saldırganların yönetici denetimlerini atlamasına ve birden fazla kiracıda hesap kaydetmesine olanak tanıyor.
Microsoft, “tasarım gereği” çalıştığını düşündüğü için güvenlik açığı yamasız kalıyor.
Güvenlik Açığı
Finlandiya siber güvenlik firması Bountyy Oy’dan güvenlik araştırmacısı Mihalis Haatainen, Temel Kimlik Doğrulama ile yapılandırılmış Azure APIM Geliştirici Portalı örneklerini etkileyen kusuru keşfetti.
Güvenlik açığı, yöneticilerin portal arayüzü aracılığıyla kullanıcı kaydını devre dışı bırakıp bırakmadığına bakılmaksızın, saldırganların Temel Kimlik Doğrulamanın etkin olduğu herhangi bir APIM örneğinde yetkisiz hesaplar oluşturmasına olanak tanır.
Temel neden iki kritik sorundan kaynaklanmaktadır. İlk olarak, Azure Portal kullanıcı arayüzünde kayıt işleminin kapatılması yalnızca kayıt formunu görünümden gizler ve temeldeki kayıt API uç noktasının tamamen işlevsel olmasını sağlar.
İkincisi, kayıt API’si, kayıt isteklerinin aynı kiracıdan geldiğini doğrulamakta başarısız olur ve basit HTTP isteği manipülasyonu yoluyla kiracılar arası hesap oluşturulmasına olanak tanır.
Bu güvenlik açığından yararlanmak minimum düzeyde teknik karmaşıklık gerektirir. Saldırganın, kaydolma özelliği etkin olan herhangi bir APIM Geliştirici Portalına erişmesi gerekir veya kendi APIM örneğini kullanabilir.
Saldırganlar, meşru bir kayıt isteğini ele geçirerek ve Ana Bilgisayar başlığını hedef örneği işaret edecek şekilde değiştirerek, kayıt devre dışı bırakılmış gibi görünen kurban portallarındaki hesapları başarıyla kaydedebilir.
Bu çapraz kiracı atlama, kayıt uç noktasının istekleri, kiracı sınır doğrulamasını zorunlu kılmadan yalnızca Ana Bilgisayar üstbilgisine dayalı olarak işlemesi nedeniyle işe yarar.
Saldırganlar, kaydolduktan sonra potansiyel olarak hassas API belgelerine, abonelik anahtarlarına ve Geliştirici Portalı aracılığıyla açığa çıkan diğer kaynaklara erişim elde eder.
Microsoft’un Tartışmalı Yanıtı
Araştırmacı, güvenlik açığını ek teknik ayrıntılarla birlikte ilki 30 Eylül 2025’te ve diğeri 1 Kasım 2025’te olmak üzere iki kez Microsoft Güvenlik Yanıt Merkezi’ne bildirdi.
Her iki rapor da MSRC tarafından davranışın “tasarım gereği” olduğu ve bir güvenlik açığı oluşturmadığı tespitiyle kapatıldı.
Microsoft’un sorunu gidermeyi reddetmesinin ardından araştırmacı, 26 Kasım 2025’te güvenlik açığını kamuya açıklamadan önce durumu CERT-FI’ye bildirdi. 27 Kasım 2025’te MITRE’den bir CVE tanımlayıcısı talep edildi.
APIM örneklerini çalıştıran kuruluşlar, Temel Kimlik Doğrulamanın yapılandırılması ve Geliştirici Portalının erişilebilir olması durumunda, kullanıcı arayüzü kayıt ayarlarından bağımsız olarak güvenlik açığından etkilenir.
Güvenlik açığı, kiracılar arası hesap oluşturmaya olanak tanıyor, yönetimsel güvenlik kontrollerini atlıyor ve dahili API belgelerinin ve abonelik anahtarlarının yetkisiz harici saldırganların eline geçmesine olanak tanıyor.
Yalnızca Azure AD veya OAuth kimlik doğrulamasını kullanan APIM örnekleri veya Geliştirici Portalının tamamen devre dışı bırakıldığı veya Temel Kimlik Doğrulama sağlayıcısının tamamen kaldırıldığı örnekler etkilenmez.
Kuruluşlar, kullanıcı arayüzündeki kaydı kapatmak yerine, Temel Kimlik Doğrulama kimlik sağlayıcısını APIM örneklerinden derhal tamamen kaldırmalıdır.
Yöneticiler, oluşturma zaman damgalarını ve kalıplarını inceleyerek mevcut Geliştirici Portalı hesaplarını yetkisiz kayıtlara karşı denetlemelidir.
Azure AD kimlik doğrulamasını özel kimlik sağlayıcı olarak uygulamak, uygun kiracı sınırlarını zorlar ve güvenlik açığını ortadan kaldırır.
Kuruluşlar, portala kaydolma etkinliğini düzenli olarak izlemeli ve periyodik hesap denetimleri yapmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.