Dalış Özeti:
- Araştırmacılar, Microsoft Azure hizmetlerinin sunucu tarafı istek sahteciliği saldırılarına karşı savunmasız olduğu dört örnek buldu. Salı günü yayınlanan bir rapor Orca Security’den. Güvenlik açığı bulunan hizmetler arasında Azure API Management, Azure Functions, Azure Machine Learning ve Azure Digital Twins yer alıyor.
- Orca bulut güvenliği araştırmacısı Lidor Ben Shitrit ve bulut güvenlik araştırma direktörü Dror Zalman’a göre, Azure İşlevleri ve Azure Digital Twins’i içeren iki örnekte güvenlik açıkları kimlik doğrulama gerektirmiyordu, bu nedenle bir saldırgan Azure hesabı olmadan bu güvenlik açıklarından yararlanabilirdi. Orca’da.
- Microsoft araştırma hakkında bilgilendirildi ve o zamandan beri güvenlik açıklarını giderdiğini doğruladı.
Dalış Bilgisi:
Araştırmacılara göre, SSRF saldırıları potansiyel olarak tehlikeli kabul ediliyor, çünkü bir saldırgan bir sunucunun işlevselliğini iç kaynakları okumak veya güncellemek için kötüye kullanabilir.
Bir saldırgan, ana bilgisayarın IMDS’sine (bulut örneği meta veri hizmeti) erişebilirse, ana bilgisayar adı, güvenlik grubu, MAC adresi ve kullanıcı verileri dahil olmak üzere örneklerle ilgili ayrıntılı bilgilere erişebilir.
Bu tür bilgiler, bir saldırganın potansiyel olarak belirteçleri almasına, başka bir ana bilgisayara geçmesine veya uzaktan kod yürütmesine olanak tanır.
Araştırmacılar e-posta yoluyla, “Bu keşiflerin en dikkate değer yönü, muhtemelen çok az çabayla bulabildiğimiz SSRF güvenlik açıklarının sayısıdır, bu da bunların ne kadar yaygın olduklarını ve bulut ortamlarında oluşturdukları riski gösterir” dedi.
Orca araştırmacıları, bir SSRF güvenlik açığı içeren önceki araştırmalara dikkat çekti. Oracle Bulut Hizmetleri.
Microsoft, kendi blog gönderisinde, hassas bilgilere veya Azure arka uç hizmetlerine erişime izin vermediği için bu belirli güvenlik açıklarının düşük riskli kabul edildiğini söyledi. Orca bunlardan üçünü “önemli” olarak nitelendirdi.
Microsoft, bir soruşturma yürüttüğünü ve güvenlik açıklarının meta verilere erişmek, dahili hizmetlere bağlanmak, kiracılar arası erişim elde etmek veya yetkisiz verilere erişmek için kullanılamayacağını belirlediğini söyledi.
Microsoft, güvenlik açığı bulunan URL’ler için ek giriş doğrulaması uyguladığını söyledi. Şirket, etkilenen dört Azure hizmeti için müşterinin herhangi bir işlem yapmasına gerek olmadığını söyledi.