Azure’un Özel Uç Nokta dağıtımlarındaki kritik bir mimari zayıflık, bulut kaynaklarına yönelik hem kazara hem de kasıtlı hizmet reddi (DoS) saldırılarına izin verebilir.
Güvenlik açığı, Azure’un Özel DNS bölge çözümlemesinin hibrit ağ yapılandırmalarıyla etkileşiminden kaynaklanıyor ve potansiyel olarak Azure depolama hesaplarının %5’inden fazlasını ve birden fazla kritik hizmeti etkiliyor.
Temel Güvenlik Açığı
Sorun, Azure Özel Bağlantı’nın ikili tasarım felsefesinden kaynaklanmaktadır. Depolama hesabı, Key Vault veya CosmosDB örneği gibi bir Azure kaynağı için Özel Uç Nokta oluşturulduğunda, karşılık gelen bir Özel DNS bölgesi (ör. privatelink.blob.core.windows.net) otomatik olarak sanal ağa bağlanır.
Azure’un DNS çözümleme motoru, bu Özel DNS bölgesine öncelik vererek eşleşen tüm ad çözümlemelerini genel DNS altyapısı yerine bu bölge üzerinden yapmaya zorlar.
Sorun, bir sanal ağda (VNET2) Özel Uç Nokta mevcut olduğunda ancak diğer sanal ağların (VNET1) genel uç noktası aracılığıyla aynı kaynağa erişim gerektirmesi durumunda ortaya çıkar.
Özel DNS bölgesi sanal ağlar arasında bağlıysa veya paylaşılıyorsa Azure’un çözümleme mantığı, VNET1 trafiğini Özel DNS bölgesi üzerinden zorlar.
Bu bölgedeki depolama hesabı için DNS A kaydı bulunmadığından, ad çözümlemesi tamamen başarısız olur ve daha önce çalışan iş yükleri için bir hizmet reddi durumu yaratılır.
Saldırı Vektörleri ve Senaryoları
Üç dağıtım senaryosu bu güvenlik açığını etkinleştirir:
Kaza eseri (Dahili): Ağ yöneticileri, gelişmiş güvenlik için Özel Uç Noktaları dağıtır ve Özel DNS bölgelerini paylaşılan altyapı aracılığıyla yanlışlıkla birden çok sanal ağ arasında birbirine bağlar.
Kaza eseri (Satıcı): Üçüncü taraf satıcılar, güvenlik çözümlerinin veya izleme araçlarının bir parçası olarak Özel Uç Noktaları dağıtarak, DNS çözümleme sorunlarını tüm ortamda basamaklandırıyor.
Kötü niyetli (Saldırgan): Azure ortam erişimine sahip tehdit aktörleri, özellikle Key Vaults veya İşlev Uygulamaları gibi yüksek değerli kaynakları hedef alarak hizmet kullanılabilirliğini kesintiye uğratmak için kasıtlı olarak Özel Uç Noktalar dağıtır.
Bu güvenlik açığı, Azure hizmetlerinde basamaklı hatalara neden olur. Depolama hesaplarına hizmetin reddedilmesi, Azure İşlevlerini ve sonraki uygulama dağıtımlarını kesintiye uğratır.
Key Vault’ları hedefleyen DoS, bağımlı süreçlerin şifreleme anahtarlarına ve gizli dizilere erişmesini engeller.
Paloaltonenetworks tarafından bildirildiği üzere CosmosDB, Azure Container Registry, Function Apps ve OpenAI hesaplarının tümü benzer risklerle karşı karşıyadır.
Araştırmalar, çoğu Azure ortamında bu hizmet türlerinde en az bir duyarlı kaynağın mevcut olduğunu ve bunun da yaygın kurumsal riski temsil ettiğini gösteriyor.
Tespit ve Etki Azaltma Stratejisi
Azure Kaynak Grafiği Sorguları: Güvenlik ekipleri, güvenlik açığı bulunan yapılandırmaları belirlemek için önceden tanımlanmış Kaynak Grafiği Gezgini sorgularını dağıtabilir:
- İlgili kaynaklar olmadan Özel DNS bölgelerine bağlı sanal ağlar
- Genel uç nokta erişimi olan ancak Özel Uç Nokta bağlantısı olmayan depolama hesapları
- Ağ ACL kısıtlamalarıyla genel ağ erişimine izin veren kaynaklar
Microsoft bu sorunun bilinen bir sınırlama olduğunu kabul etmektedir. İki kısmi çözüm mevcuttur: sanal ağ bağlantıları oluştururken internete geri dönüş DNS çözümlemesinin etkinleştirilmesi (bu, Özel Bağlantı’nın güvenlik hedefiyle çelişse de) veya Özel DNS bölgelerinde (üretim ortamları için operasyonel açıdan yoğun) etkilenen kaynaklar için DNS A kayıtlarının manuel olarak eklenmesi.
Kuruluşlar, Özel Bağlantı yapılandırmalarını eşlemek için Kaynak Grafiği sorgularını kullanarak kapsamlı Azure ortamı taraması gerçekleştirmelidir.
Uygun olduğunda yedek DNS çözümlemesini uygulayın, bunu kritik kaynaklar için manuel DNS kayıt yönetimiyle birleştirin ve olası saldırıları gösteren başarısız DNS çözümlemeleri için ağ günlüklerini izleyin.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.