Tenable’daki güvenlik araştırmacıları, Azure Hizmet Etiketinde, saldırganların müşterilerin özel verilerine erişmesine izin verebilecek, yüksek önem derecesine sahip bir güvenlik açığı keşfettiler.
Hizmet Etiketleri, Azure kaynaklarını korumak için ağ yalıtımı gerektiğinde güvenlik duvarı filtrelemesi ve IP tabanlı Erişim Denetim Listeleri (ACL’ler) için kullanılan belirli bir Azure hizmetine yönelik IP adresi gruplarıdır. Bu, gelen veya giden İnternet trafiğinin engellenmesi ve yalnızca Azure hizmet trafiğine izin verilmesiyle gerçekleştirilir.
Tenable’dan Liv Matan, tehdit aktörlerinin, güvenilen Azure hizmetlerini taklit etmek ve genellikle Azure hizmetlerini ve hassas verileri kimlik doğrulama kontrolleri olmadan güvence altına almak için kullanılan Azure Hizmet Etiketlerini temel alan güvenlik duvarı kurallarını atlamak amacıyla kötü amaçlı SSRF benzeri web istekleri oluşturmak için bu güvenlik açığını kullanabileceğini açıkladı.
Matan, “Bu, bir saldırganın Azure müşterilerinin özel verilerine erişmesine izin verebilecek yüksek önem derecesine sahip bir güvenlik açığıdır” dedi.
Saldırganlar, “klasik test” veya “standart test” işlevindeki “kullanılabilirlik testi” özelliğinden yararlanarak dahili hizmetlere erişmelerine ve potansiyel olarak 80/443 bağlantı noktalarında barındırılan dahili API’leri açığa çıkarmalarına olanak tanıyabilir.
Bu, saldırganlara özel başlıklar ekleme, yöntemleri değiştirme ve HTTP isteklerini gerektiği gibi özelleştirme yeteneği veren Application Insights Availability hizmetinin kullanılabilirlik testleri özelliğinin kötüye kullanılmasıyla gerçekleştirilebilir.
Matan, normalde açığa çıkmayan dahili API’lere erişmek için özel başlıkların ve Azure Hizmet Etiketlerinin kötüye kullanılmasıyla ilgili raporunda daha fazla teknik bilgi paylaştı.
“Microsoft bu güvenlik açığına yönelik bir düzeltme eki yayınlamayı planlamadığından tüm Azure müşterileri risk altındadır. Müşterilerin, MSRC tarafından yayınlanan merkezi belgeleri hemen incelemelerini ve yönergeleri eksiksiz bir şekilde takip etmelerini önemle tavsiye ederiz.”
Tenable araştırmacıları, Azure Application Insights hizmetinde keşfedilen bu durumun en az on kişiyi daha etkilediğini buldu. Tam liste şunları içerir:
- Azure DevOps
- Azure Makine Öğrenimi
- Azure Mantık Uygulamaları
- Azure Konteyner Kayıt Defteri
- Azure Yük Testi
- Azure API Yönetimi
- Azure Veri Fabrikası
- Azure Eylem Grubu
- Azure AI Video Dizin Oluşturucu
- Azure Kaos Stüdyosu
Tenable, bu sorundan yararlanan saldırılara karşı savunma yapmak için Azure müşterilerine, varlıklarını açığa çıkmaktan korumak amacıyla Hizmet Etiketlerini temel alan ağ kontrollerinin üstüne ek kimlik doğrulama ve yetkilendirme katmanları eklemelerini tavsiye ediyor.
Şirket, Azure kullanıcılarının, etkilenen hizmetlerdeki varlıkların, yeterince güvenli olmadıkları takdirde kamuya açık hale geleceğini varsaymaları gerektiğini ekliyor.
Matan, “Azure hizmetlerinin ağ kurallarını yapılandırırken, Hizmet Etiketlerinin özel hizmetinize giden trafiği güvence altına almanın kesin bir yolu olmadığını unutmayın.” diye ekledi.
“Güçlü ağ kimlik doğrulamasının korunmasını sağlayarak, kullanıcılar kendilerini ek ve önemli bir güvenlik katmanıyla savunabilirler.”
Microsoft aynı fikirde değil
Ancak Microsoft, Tenable’ın bunun bir Azure güvenlik açığı olduğu yönündeki değerlendirmesine katılmıyor ve orijinal belgelerinde açık olmasa da Azure Hizmet Etiketlerinin bir güvenlik sınırı olarak tasarlanmadığını söylüyor.
Microsoft, “Hizmet etiketleri bir güvenlik sınırı olarak değerlendirilmemeli ve yalnızca doğrulama kontrolleriyle birlikte bir yönlendirme mekanizması olarak kullanılmalıdır” dedi.
“Hizmet etiketleri, müşterinin kaynağına giden trafiği güvence altına almanın kapsamlı bir yolu değildir ve web istekleriyle ilişkili olabilecek güvenlik açıklarını önlemek için giriş doğrulamanın yerini almaz.”
Şirket, müşterilerin Azure hizmeti uç noktalarını yetkisiz erişim girişimlerinden korumak amacıyla katmanlı bir ağ güvenliği yaklaşımı için ek yetkilendirme ve kimlik doğrulama kontrollerinin gerekli olduğunu söylüyor.
Redmond, güvenlik ekibinin veya üçüncü tarafların saldırılarda hizmet etiketlerinin kötüye kullanıldığına veya kötüye kullanıldığına dair henüz kanıt bulamadığını ekledi.