Microsoft Azure’un API bağlantı mimarisinde kritik bir güvenlik açığı, saldırganların farklı kiracı ortamlarında kaynakları tamamen tehlikeye atmasına izin verebilecek, potansiyel olarak anahtar tonozlarda depolanan hassas verileri, Azure SQL veritabanlarında ve Jira ve Salesforce gibi üçüncü taraf hizmetlerini açığa çıkaracak.
Bir güvenlik araştırmacısına Microsoft’tan 40.000 dolarlık bir ödül ve Black Hat’taki bir sunum yuvası kazanan güvenlik açığı, Azure’un tüm API bağlantılarının küresel olarak oluşturulduğu Paylaşılan API Yönetimi (APIM) örneğinden yararlandı.
Bu mimari kusur, benzeri görülmemiş kiracılar arası erişim sağladı ve kötü niyetli aktörlerin dünya çapında herhangi bir API bağlantısını tam arka uç ayrıcalıklarıyla kaçırmasına izin verdi.
Teknik sömürü detayları
Saldırı, API bağlantılarının Azure Kaynak Yöneticisi (ARM) aracılığıyla keyfi eylemler yürütmesine izin veren belgesiz bir DynamicInvoke uç noktasından yararlandı.
Kısıtlı/uzantılar/proxy/[Action] Endpoint, DynamicInvoke, güçlü bir saldırı vektörü sağlayarak özel yolları, yöntemleri, başlıkları ve istek gövdelerini kabul eder.
Güvenlik açığı, ARM işlemlerinin paylaşılan APIM örneğine nasıl talep ettiğine odaklanır.
DynamicInvoke isteği alırken, ARM çağrıları oluşturur: /apim /[ConnectorType]/[ConnectionId]/[Action-Endpoint] küresel olarak tüm API bağlantılarına erişimi olan süper ayrı kol jetonları ile.
Saldırganlar, yol geçiş güvenlik açıklarına sahip özel mantık uygulama konektörleri oluşturarak bunu kullanabilirler.
../../../../ gibi kötü amaçlı yol parametreleri sağlayarak[VictimConnectorType]/[VictimConnectionID]/[action]istek yolu, tüm erişim kontrollerini atlayarak mağdur bağlantılarını doğrudan hedeflemek için normalleşir.
Bu güvenlik açığının şiddeti abartılamaz. Başarılı sömürü, aşağıdakiler dahil olmak üzere saldırganların yöneticinin tehlikeye girdiği kaynaklara erişimini sağlıyor:
- Azure Anahtar Vauls: Depolanan sırlara, sertifikalara ve kriptografik anahtarlara tam erişim
- Azure SQL Veritabanları: Tam veritabanı erişimi ve potansiyel veri açığa çıkması
- Üçüncü taraf entegrasyonlar: Slack, Salesforce ve Jira gibi bağlı hizmetlerin uzlaşması
- Harici olarak bağlı herhangi bir hizmet API bağlantıları aracılığıyla erişilebilir
Sömürü için tek ön koşul, herhangi bir Azure kiracısı içinde bir API bağlantısına katkıda bulunan düzeyde erişim sağlamaktı, bu da bunu önemli bir ayrıcalık artış kırılganlığı haline getirdi.
Microsoft, İkili Güvenlik’in raporuna göre, 7 Nisan sunumundan üç gün içinde kırılganlığı onaylayarak ve bir hafta içinde hafifletmeler uygularken açıklamaya hızla yanıt verdi.
Şirket, yol parametrelerinde ../ ve bazı URL kodlu varyantları engelleyen bir kara liste sistemi kullandı.
Bununla birlikte, araştırmacı, bu düzeltmenin kapsamlı olmayabileceğini belirtti, bu da bypass’ların alternatif yol normalleştirme teknikleri veya doğrudan API bağlantı yolu manipülasyonu yoluyla hala mümkün olabileceğini düşündürdü.
Araştırmacı, başarılı bypass’ların benzer ödül ödülleri vermesi gerektiğini belirterek daha fazla güvenlik testini teşvik ediyor.
Bu keşif, çok kiracılı izolasyonun müşteri güveni ve veri güvenliği için çok önemli olduğu bulut ortamlarında güvenli mimari tasarımının kritik önemini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!