Son güvenlik bulguları, tehdit aktörlerinin, kuruluşların iç kaynaklarına yetkisiz erişim elde etmek için yanlış yapılandırılmış Azure uygulama vekillerini aktif olarak sömürdüğünü ortaya koymaktadır.
Azure App Proxy ön kimlik doğrulaması varsayılan “Microsoft Entra Kimliği” ayarı yerine “geçiş” olarak ayarlandığında, özel ağ kaynakları istemeden potansiyel saldırganlara maruz kalabilir.
Azure App Proxy ön kimlik doğrulamasından yararlanan saldırganlar
Microsoft’un Azure App Proxy Hizmeti, kuruluşların gelen güvenlik duvarı bağlantı noktaları açmadan genel İnternet’e şirket içi uygulamalar yayınlamalarını sağlar.
Bu hizmet genellikle kimlik doğrulama için Microsoft Entra Kimliği’ni (eski adıyla Azure Active Directory) kullanır ve uzak kullanıcılar için güvenli bir erişim yolu oluşturur.
Bununla birlikte, TrustedSec’teki güvenlik araştırmacıları, yöneticiler varsayılan “Microsoft Entra Kimliği” ayarı yerine ön planlama seçeneğini “geçiş” olarak yapılandırdıklarında, dahili kaynakları koruyan kimlik doğrulama bariyerini etkili bir şekilde kaldırdıklarını keşfettiler.
Araştırmacılar, “Geçiş öncesi onaylama temel olarak güvenlik duvarınızdaki bir bağlantı noktası özel sisteme açmanın eşdeğeridir” dedi.
“Amaç belirli uygulamaların erişilebilir olması olsa da, diğer kaynaklar istemeden maruz kalabilir.”
Bir gösteri ortamında, araştırmacılar aynı dahili web sitesine işaret eden iki uygulama URL’si yapılandırdı:
Davranış farkı keskinti. MSENTRAID URL’sine erişilirken, tüm istekler Microsoft Entra Kimlik Doğrulaması ile korundu ve erişim vermeden önce uygun kimlik bilgileri gerektirdi.
Buna karşılık, geçiş URL’si bypass kimlik doğrulamasını tamamen, doğrudan aynı sunucudaki dahili uygulamayı ve potansiyel olarak diğer kaynakları ortaya çıkarır.
Gerçek Dünya Saldırı Senaryoları
Güvenlik uzmanları, maruz kalan geçiş vekillerine karşı zorla göz atma ve içerik keşfi yapan saldırganları gözlemlediler.
Saldırganlar, farklı URL yollarını sistematik olarak araştırarak korunmasız iç kaynakları, idari arayüzleri ve potansiyel olarak savunmasız uç noktaları tanımlayabilir.
Belgelenmiş bir durumda, saldırganlar yalnızca temel HTTP kimlik doğrulamasını kullanan “/güvenli/” bir yol keşfettiler.
“Admin: Admin” ve “Test: Test” gibi varsayılan kimlik bilgisi kombinasyonlarıyla basit kaba kuvvet tekniklerini kullanarak, hassas dahili sistemlere başarıyla yetkisiz erişim elde ettiler:
Bu güvenlik açığı, hibrit bulut ortamlarının güvence altına alınmada devam eden zorlukları vurgulamaktadır. Azure App Proxy uzaktan erişim için kolaylık sunarken, uygunsuz yapılandırma önemli güvenlik boşluklarına yol açabilir.
Araştırma ekibi, “Kuruluşların geçiş öncesi onaylamanın önemli bir güvenlik katmanını kaldırdığını anlamaları gerekiyor” diyor.
“Microsoft’un kendi belgeleri, geçişin anonim saldırılara karşı koruma sağlamadığı konusunda uyarıyor.” Güvenlik açığı, Azure Hizmetlerinde artan güvenlik endişeleri listesine katkıda bulunur.
Bu yılın başlarında, ORCA güvenlik araştırmacıları, saldırganların yerel bağlantı noktalarını taramasına ve dahili uç noktalara erişmesine izin veren dört farklı Azure hizmetinde SSRF güvenlik açıklarını belirledi
Azaltma önerileri
Güvenlik uzmanları, bu güvenlik açığına karşı korunmak için aşağıdaki adımları önerir:
- Tüm Azure App Proxy yapılandırmalarını inceleyin ve ön planın “geçiş” yerine “Microsoft Entra Kimliği” olarak ayarlandığından emin olun
- Entra kimlik doğrulamasını kullanamayan tüm uygulamalar için ek güvenlik katmanları uygulayın
- Potansiyel güvenlik boşlukları için maruz kalan uygulamaları düzenli olarak denetleyin
- Kritik Uygulamalar için Web Uygulaması Güvenlik Duvarı Koruması uygulamayı düşünün
Bulut tabanlı hizmetler genişlemeye devam ettikçe, kuruluşlar iç kaynakları yanlışlıkla kamuya açık internete maruz bırakabilecek yapılandırma ayarları konusunda uyanık kalmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free