Microsoft Azure Hizmetleri Güvenlik Açığı, Saldırganların Erişim Kazanmasına İzin Veriyor

   Ocak 18, 2023  Posted in CyberSecurityNews


Azure Hizmetleri Güvenlik Açığı

Orca kısa süre önce çeşitli Microsoft Azure hizmetleriyle ilgili bir araştırma yürüttü ve çeşitli hizmetlerin bir Sunucu Tarafı İstek Sahtekarlığı (SSRF) saldırısına açık olduğunun ortaya çıktığı dört örnek keşfetti.

Azure platformunda, erişmek veya istismar etmek için herhangi bir kimlik doğrulaması gerektirmediği için özellikle ilgili olan iki belirli zayıflık vardır.

Bu, bir saldırganın bu güvenlik açıklarından yararlanmak için Azure platformu için geçerli bir hesaba veya oturum açma kimlik bilgilerine sahip olması gerekmediği anlamına gelir.

Bu kimlik doğrulama eksikliği, bir saldırganın yetkisiz erişim elde etmesini veya kötü niyetli eylemler gerçekleştirmesini çok daha kolay hale getirir ve başarılı bir saldırı olasılığını artırır.

DÖRT

“İlgili” kelimesinin kullanılması, bu güvenlik endişesinin ciddiyetini vurgular ve bu güvenlik açıklarını gidermek için acil eylem gereğini vurgular.

SSRF Nasıl Çalışır?

Savunmasız Azure Hizmetleri

Orca tarafından 8 Ekim 2022 ile 2 Aralık 2022 arasında keşfedilen güvenlik açıkları aşağıdaki hizmetlerdedir:-

  • Azure API Yönetimi
  • Azure İşlevleri
  • Azure Makine Öğrenimi
  • Azure Dijital İkizler

Orca, bu güvenlik açıklarını keşfettikten sonra derhal Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bunları bildirdi. Sonuç olarak, MSRC sorunları hızlı bir şekilde düzeltti ve Microsoft, güvenlik açıklarının artık mevcut olmadığını onayladı.

Şimdi, Orca güvenlik açıkları hakkındaki bilgileri çözüldükleri şekliyle herkese açık hale getiriyor. Aşağıda, dört Azure hizmetinde keşfedilen güvenlik açıklarının genel özetinden ve olay sıralamasından bahsettik.

Azaltmalar

Neyse ki, araştırmacıların Azure’da bulunan SSRF güvenlik açıklarından yararlanma girişimleri, Microsoft’un bulut ekosisteminde IMDS uç noktalarına erişimi engelleyen çeşitli SSRF karşı önlemleri oluşturduğu için engellendi.

Potansiyel tehditleri etkisiz hale getirmek için kuruluşlardan aşağıda bahsettiğimiz eylemleri takip etmeleri istenmektedir:-

  • Tüm girdileri doğrulayın.
  • Sunucuların yalnızca gerekli gelen ve giden iletişime izin verecek şekilde tasarlandığını belirleyin.
  • Yanlış yapılandırmaları önleyin.
  • En az ayrıcalık ilkesine (PoLP) kesinlikle uyun.
  • Bulut ortamını güvende tutun.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link