Bulut Güvenliği, Güvenlik Operasyonları
Redmond, Müşterilerin Azure Hizmet Etiketlerini Yanlış Anladığına İlişkin Kanıtlanabilir Rapor İstiyor
David Perera (@daveperera) •
6 Haziran 2024
Microsoft, Microsoft Azure’da müşterilerin bulut ortamlarını daha iyi yapılandırmaları gerektiğini gösteren yüksek önem derecesine sahip bir güvenlik açığının bulunduğunu öne süren bir güvenlik araştırması çağrısında bulunuyor.
Ayrıca bakınız: Palo Alto Networks Prisma Cloud’un Toplam Ekonomik Etkisi
Güvenlik firması Tenable Pazartesi günü, saldırganların Azure Hizmet Etiketlerini temel alan güvenlik duvarı kurallarını nasıl atlayabileceğini ayrıntılarıyla anlatan bir blog yazısı yayınladı. Hizmet Etiketleri grubu IP adresleri Azure hizmetleri tarafından kullanılır; kullanılabilirlik testi gibi Azure hizmetleri için güvenlik duvarının beyaz listeye alınmasına izin vermek daha iyidir.
Yasal olarak elde edilmiş olsun veya olmasın Azure örneğine sahip bir saldırgan, güvenlik duvarlarının izin verecek şekilde yapılandırıldığı bir Azure hizmeti aracılığıyla web uygulamalarına özelleştirilebilir HTTP istekleri göndererek şirket kaynaklarına erişim elde edebilir. Tenable, kusurun API yönetimi de dahil olmak üzere 10’dan fazla Azure hizmetinde mevcut olduğunu buldu.
Tenable araştırma müdürü Noam Dahan, “Sorunun özü şu ki, benim mevcut test hizmetimi kullanmam veya birinin kullanılabilirlik testi hizmeti kurması önemli değil; trafik yine de devam edecek” dedi.
Microsoft Pazartesi günü yaptığı açıklamada, bu tür bir saldırıyı doğada görmediğini veya bunlara ilişkin raporlar almadığını söyledi.
Tenable ve Microsoft, bilgi işlem devinin Tenable’ın Ocak ayında saldırı kanıtı konseptini açıklamasına siber güvenlik şirketine bir hata ödülü vererek yanıt verdiğini söylüyor.
Ancak daha sonraki aylarda konuyu inceleyen Microsoft, Tenable’ın aslında sunucu tarafında bir sahtecilik kusuru veya güvenlik duvarını aşma güvenlik açığını ortaya çıkarmadığına karar verdi. Şirket Pazartesi günü yazdığı yazıda, Azure müşterilerinin “hizmet etiketlerinin nasıl kullanılacağını ve kullanım amaçlarını” yanlış anladığını belirtti.
“Hizmet etiketleri, müşterinin kaynağına giden trafiği güvence altına almanın kapsamlı bir yolu değildir ve web istekleriyle ilişkili olabilecek güvenlik açıklarını önlemek için giriş doğrulamanın yerini almaz.”
Şirket, Tenable’ın bulgularının web isteklerinin doğrulanması ihtiyacını vurguladığını belirtti. Bir şirket sözcüsü, e-postayla hazırlanan bir açıklamada, “Müşterilerimizin, hizmet etiketleri için yalnızca güvenilir ağ trafiğinin kimliğini doğrulamak amacıyla güvenlik önlemlerini doğrulama konusunda çok katmanlı bir güvenlik yaklaşımı benimsemelerini teşvik ediyoruz” dedi.
Dahan, Bilgi Güvenliği Medya Grubu’na Tenable’ın hala bir güvenlik açığını ortaya çıkardığına inandığını söyledi. Kimlik doğrulamanın başka bir güvenlik katmanı ekleyeceğini, ancak altta yatan sorunu çözmediğini söyledi. “Kimlik doğrulama, bazı şeyleri doğru bazı şeyleri yanlış yapabileceğiniz tam bir güvenlik disiplinidir. Bu, müşterilerin her zaman %100 doğru anlayacağı bir şey değildir” dedi.
Dahan, saldırganlar için potansiyel sınırlamaların bulunduğunu söyledi. Bilgisayar korsanlarının başarılı olabilmesi için hedef Azure etki alanını bilmesi veya tahmin etmesi gerekir. “Doğru. Bazı durumlarda URL’nin bilinemez olması saldırganın hayatını zorlaştırabilir ancak bu tek başına bir güvenlik standardı değildir” dedi. Bu bilgi dışarı sızabilir (kod depoları, kamuya açıklanmaması gereken dahili verileri ifşa etme konusunda kötü bir şöhrete sahiptir) veya bilgisayar korsanları, alan adını kolayca çıkarabilir.
Microsoft’un şirketlere tavsiyesi, HTTPS başlıklarına kimlik doğrulama belirteçleri eklemeleridir.