Balises de service Azure « vuln » : avertissement des professionnels de la sécurité

TheStack - 06/06
Les recherches de Tenable « ont révélé une surface d'attaque dont la plupart des utilisateurs du service Azure ne tenaient probablement pas compte... »

Les chercheurs en sécurité de Tenable ont signalé ce qu'ils ont décrit comme une vulnérabilité « de haute gravité » affectant plusieurs services Azure et ont averti que Microsoft n'avait « pas l'intention de la corriger » malgré l'émission d'une prime.

Tenable, spécialiste de la gestion des surfaces d'attaque, a déclaré que le bug permettait aux attaquants de « contourner les règles de pare-feu basées sur Azure Service Tags en forgeant des requêtes provenant de services de confiance », mais Microsoft a déclaré qu'il s'agissait d'un problème de configuration client.

"Les balises de service ne doivent pas être traitées comme une limite de sécurité et doivent uniquement être utilisées comme mécanisme de routage en conjonction avec des contrôles de validation", a déclaré Redmond, tout en exhortant également les clients à vérifier leurs mesures de sécurité.

[Les attaquants peuvent] accéder aux services internes des victimes multi-locataires qui font aveuglément confiance au Application Insights Availability Service Tag dans leur règle de pare-feu. Les attaquants peuvent en tirer parti pour accéder aux API internes qui sont désormais exposées dans le service de la victime, puisque les ports exposés sont 80/443, qui hébergent généralement des actifs Web – Tenable.

Microsoft a déclaré « nous recommandons fortement aux clients de revoir de manière proactive leur utilisation des balises de service et de valider leurs mesures de sécurité pour authentifier uniquement le trafic réseau approuvé pour les balises de service », mais après une enquête plus approfondie, il a constaté que les balises fonctionnaient comme prévu ; il a cependant mis à jour sa documentation.

Des professionnels de la sécurité de l'information ont déclaré à The Stack que Tenable avait tout à fait raison d'avertir que les pirates pourraient « abuser » des balises de service – des groupes prédéfinis d'adresses IP pour c...
[Courte citation de 8% de l'article original]

Loading...