Les chercheurs en sécurité de Tenable ont découvert ce qu’ils décrivent comme une vulnérabilité de gravité élevée dans Azure Service Tag qui pourrait permettre aux attaquants d’accéder aux données privées des clients.
Les balises de service sont des groupes d’adresses IP pour un service Azure spécifique utilisé pour le filtrage du pare-feu et les listes de contrôle d’accès (ACL) basées sur IP lorsque l’isolation du réseau est nécessaire pour protéger les ressources Azure. Ceci est réalisé en bloquant le trafic Internet entrant ou sortant et en autorisant uniquement le trafic de service Azure.
Liv Matan de Tenable a expliqué que les auteurs de menaces peuvent utiliser cette vulnérabilité pour créer des requêtes Web malveillantes de type SSRF afin d’usurper l’identité de services Azure de confiance et de contourner les règles de pare-feu basées sur les balises de service Azure, souvent utilisées pour sécuriser les services Azure et les données sensibles sans vérification d’authentification.
« Il s’agit d’une vulnérabilité de gravité élevée qui pourrait permettre à un attaquant d’accéder aux données privées des clients Azure », a déclaré Matan.
Les attaquants peuvent exploiter la fonctionnalité » test de disponibilité « dans la fonctionnalité » test classique « ou » test standard », leur permettant d’accéder aux services internes et potentiellement d’exposer les API internes hébergées sur les ports 80/443.
Cela peut être réalisé en abusant de la fonctionnalité de tests de disponibilité du service Application Insights Availability, qui permet aux attaquants d’ajouter des en-têtes personnalisés, de modifier des méthodes et de personnaliser leurs requêtes HTTP selon leurs besoins.
Matan a partagé plus d’informations techniques dans son rapport sur l’utilisation abusive des en-têtes personnalisés et des balises de service Azure pour accéder aux API internes qui ne sont normalement pas exposées.
« Étant donné que Microsoft ne prévoit pas d’émettre de correctif pour cette vulnérabilité, tous les clients Azure sont à risque. Nous recommandons fortement aux clients de consulter immédiatement la documentation centralisée publiée par MSRC et de suivre attentivement les directives. »
Bien qu’ils aient été découverts dans le service Azure Application Insights, les chercheurs de Tenable ont constaté qu’il en affectait au moins dix autres. La liste complète comprend:
- Opérations de développement Azure
- Apprentissage Automatique Azure
- Applications Azure Logic
- Registre de conteneurs Azure
- Test de Charge Azure
- Gestion des API Azure
- Usine de Données Azure
- Groupe d’action Azure
- Indexeur vidéo Azure AI
- Studio de Chaos d’Azur
Pour se défendre contre les attaques tirant parti de ce problème, Tenable conseille aux clients Azure d’ajouter des couches d’authentification et d’autorisation supplémentaires en plus des contrôles réseau basés sur les balises de service pour protéger leurs actifs contre l’exposition.
La société ajoute que les utilisateurs Azure doivent supposer que les actifs des services concernés sont exposés publiquement s’ils ne sont pas correctement sécurisés.
« Lors de la configuration des règles réseau des services Azure, gardez à l’esprit que les balises de service ne sont pas un moyen étanche de sécuriser le trafic vers votre service privé », a ajouté Matan.
« En veillant à ce qu’une authentification réseau forte soit maintenue, les utilisateurs peuvent se défendre avec une couche de sécurité supplémentaire et cruciale. »
Microsoft n’est pas d’accord
Cependant, Microsoft n’est pas d’accord avec l’évaluation de Tenable selon laquelle il s’agit d’une vulnérabilité Azure, affirmant que les balises de service Azure n’étaient pas conçues comme une limite de sécurité, même si cela n’était pas clair dans leur documentation d’origine.
« Les balises de service ne doivent pas être traitées comme une limite de sécurité et ne doivent être utilisées que comme mécanisme de routage en conjonction avec des contrôles de validation », a déclaré Microsoft.
« Les balises de service ne constituent pas un moyen complet de sécuriser le trafic vers l’origine d’un client et ne remplacent pas la validation des entrées pour éviter les vulnérabilités pouvant être associées aux requêtes Web. »
La société affirme que des contrôles d’autorisation et d’authentification supplémentaires sont nécessaires pour une approche de sécurité réseau en couches afin de protéger les points de terminaison de service Azure des clients contre les tentatives d’accès non autorisées.
Redmond a ajouté que son équipe de sécurité ou des tiers n’ont pas encore trouvé de preuves d’exploitation ou d’abus des balises de service dans les attaques.