Microsoft Azure API Yönetimi (APIM) Geliştirici Portalı’ndaki kritik bir güvenlik açığı, yöneticiler portal arabirimi aracılığıyla kullanıcı kaydını açıkça devre dışı bırakmış olsa bile, saldırganların farklı kiracı örneklerinde hesap kaydetmesine olanak tanır.
Microsoft’un “tasarım gereği” olarak sınıflandırdığı kusur 1 Aralık 2025 itibarıyla yamasız kalıyor ve kuruluşlar potansiyel olarak yetkisiz erişime maruz kalıyor.
Güvenlik sorunu, Azure Portal kullanıcı arayüzünde kaydolmanın devre dışı bırakılmasının yalnızca kayıt formunu görsel olarak gizlediği, temeldeki /signup API uç noktasının tamamen etkin ve erişilebilir kaldığı temel bir tasarım hatasından kaynaklanmaktadır.
Geliştirici Portalı için Temel Kimlik Doğrulama yapılandırıldığında arka uç API, kiracı sınırlarını doğrulamadan veya isteğin yetkili bir kaynaktan geldiğini doğrulamadan kayıt isteklerini kabul etmeye devam eder.
Microsoft Azure API Yönetim Kusuru
Saldırganlar bu güvenlik açığından yararlanarak Host kayıt isteklerindeki başlık. Saldırı, saldırgan tarafından kontrol edilenler de dahil olmak üzere kaydolmanın etkin olduğu herhangi bir APIM örneğine erişim gerektirir; burada meşru bir kayıt isteğini engelleyebilir, Ana Bilgisayar başlığını hedef kuruluşun APIM örneğini işaret edecek şekilde değiştirebilir ve kurbanın portalında kayıt “devre dışı” olmasına rağmen başarıyla bir hesap oluşturabilir.
Güvenlik açığı, Temel Kimlik Doğrulamanın etkin olduğu herhangi bir APIM örneğinde kiracılar arası hesap oluşturma, yönetim erişim kontrollerinin tamamen atlanması ve hassas API belgelerinin ve abonelik anahtarlarının potansiyel olarak açığa çıkması dahil olmak üzere birçok kritik güvenlik riskine olanak tanır. Kamu kayıtlarını devre dışı bıraktıklarına inanan kuruluşlar, bilmeden bu saldırı vektörüne karşı savunmasız kalabilir.
Temel Kimlik Doğrulama yapılandırılmışsa (kullanıcı arayüzü ayarlarından bağımsız olarak), Geliştirici Portalı dağıtılmış ve erişilebilir durumdaysa ve hizmet Geliştirici, Temel, Standart veya Premium katmanlarında çalışıyorsa APIM örnekleri güvenlik açığından etkilenir. Güvenlik açığına, CWE-284 (Uygunsuz Erişim Kontrolü) kapsamında orta-yüksek önem derecesi olarak sınıflandırılan 6,5 CVSS puanı verildi.
Bountyy Oy’dan Finlandiyalı güvenlik araştırmacısı Mihalis Haatainen, 30 Eylül 2025’te güvenlik açığını keşfetti ve bunu hemen Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bildirdi.
Eylül ve Kasım aylarında iki ayrıntılı rapor gönderdikten sonra Microsoft, davranışın “tasarım gereği” olduğunu ve bir güvenlik açığı oluşturmadığını belirterek her iki vakayı da kapattı. Araştırmacı daha sonra sorunu 26 Kasım 2025’te kamuya açıklamadan önce CERT-FI’ye bildirdi.
Microsoft bir yama yayınlamadığından kuruluşların APIM örneklerini korumak için derhal harekete geçmesi gerekiyor. En kritik adım, yalnızca kullanıcı arayüzünde kaydı devre dışı bırakmak değil, Temel Kimlik Doğrulama kimlik sağlayıcısını Azure Portal’dan tamamen kaldırmaktır.
Kuruluşlar APIM örneklerine gitmeli, Kimlikler altında Geliştirici Portalı ayarlarına erişmeli ve “Kullanıcı adı ve şifre” kimlik sağlayıcısını tamamen silmelidir.
Ek koruyucu önlemler arasında, uygun kiracı sınırlarını uygulamak için özel olarak Azure Active Directory kimlik doğrulamasına geçiş yapılması, mevcut tüm Geliştirici Portalı kullanıcı hesaplarının, kaydın sözde devre dışı bırakılmasından sonra oluşturulan yetkisiz kayıtlar açısından denetlenmesi ve kayıt etkinliğinin ve API çağrılarının sürekli izlenmesinin uygulanması yer alır.
Güvenlik ekipleri, kuruluşlarındaki savunmasız örnekleri belirlemek için, herkese açık Python doğrulama komut dosyasını ve araştırmacı tarafından yayınlanan Nuclei şablonunu kullanabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
