متن خبر

محقق امنیتی می گوید تگ های Azure یک تهدید امنیتی هستند – اما مایکروسافت با این موضوع مخالف است

محقق امنیتی می گوید تگ های Azure یک تهدید امنیتی هستند – اما مایکروسافت با این موضوع مخالف است

شناسهٔ خبر: 493598 -




تصویر شخصی <a href= که روی نماد ابر کلیک می کند." class=" block-image-ads hero-image" srcset="https://cdn.mos.cms.futurecdn.net/TTiZmapEoTEgNmiUGUdSUf-320-80.jpg 320w, https://cdn.mos.cms.futurecdn.net/TTiZmapEoTEgNmiUGUdSUf-480-80.jpg 480w, https://cdn.mos.cms.futurecdn.net/TTiZmapEoTEgNmiUGUdSUf-650-80.jpg 650w, https://cdn.mos.cms.futurecdn.net/TTiZmapEoTEgNmiUGUdSUf-970-80.jpg 970w, https://cdn.mos.cms.futurecdn.net/TTiZmapEoTEgNmiUGUdSUf-1024-80.jpg 1024w, https://cdn.mos.cms.futurecdn.net/TTiZmapEoTEgNmiUGUdSUf-1200-80.jpg 1200w, https://cdn.mos.cms.futurecdn.net/TTiZmapEoTEgNmiUGUdSUf-1920-80.jpg 1920w" sizes="(min-width: 1000px) 600px, calc(100vw - 40px)" data-pin-media="https://cdn.mos.cms.futurecdn.net/TTiZmapEoTEgNmiUGUdSUf.jpg">
اعتبار تصویر: Shutterstock (اعتبار تصویر: Shutterstock)

برخی از محققان ادعا کرده اند که برچسب های سرویس Azure در برابر نقصی آسیب پذیر است که می تواند به عوامل تهدید اجازه دهد داده های حساس افراد را بدزدند - با این حال مایکروسافت التماس می کند که متفاوت باشد.

Azure Service Tags یک ویژگی در Microsoft Azure است که به ساده‌سازی مدیریت امنیت شبکه کمک می‌کند و به کاربران اجازه می‌دهد تا کنترل‌های دسترسی شبکه را براساس گروه‌های منطقی آدرس‌های IP به جای آدرس‌های IP فردی تعریف کنند. این تگ های سرویس نشان دهنده گروهی از پیشوندهای آدرس IP از سرویس های خاص Azure هستند که می توانند در قوانین امنیتی برای گروه های امنیتی شبکه (NSG)، مسیرهای تعریف شده توسط کاربر (UDRs) و فایروال Azure استفاده شوند.

در گزارش اخیر، محققان امنیتی Tenable گفتند هکرها می توانند از این نقص برای ایجاد درخواست های وب مخرب SSRF مانند سوء استفاده کنند و پس به عنوان سرویس های Azure قابل اعتماد معرفی شوند. از این رو، هر قانون فایروال مبتنی بر برچسب‌های سرویس Azure غیرقانونی است.

مکانیسم مسیریابی

Liv Matan از Tenable نوشت: "این یک آسیب پذیری با شدت بالا است که می تواند به مهاجم اجازه دسترسی به داده های خصوصی مشتریان Azure را بدهد."

متان با توضیح اینکه این آسیب‌پذیری از کجا نشأت می‌گیرد، بيان کرد که ویژگی Application Insights Availability به کاربران اجازه می‌دهد تا تست‌های در دسترس بودن را برای برنامه یا دستگاه خود ایجاد کنند. مهاجمان می توانند از "تست در دسترس بودن" "تست کلاسیک" یا یک عملکرد "تست استاندارد" برای افشای API های داخلی میزبانی شده در پورت های 80/443، که معمولا دارایی های وب را میزبانی می کنند، سوء استفاده کنند.

"از آنجایی که مایکروسافت قصد ندارد برای این آسیب پذیری وصله ای صادر کند، همه مشتریان Azure در معرض خطر هستند. ما به مشتریان توصیه می کنیم فورا اسناد متمرکز صادر شده توسط MSRC را تحلیل کنند و دستورالعمل ها را به طور کامل دنبال کنند."

تنبل بيان کرد که علاوه بر سرویس Azure Application Insights، ده سرویس دیگر نیز آسیب پذیر هستند، از جمله Azure DevOps، Azure Machine Learning، Azure Logic Apps، Azure Container Registry، Azure Load Testing، Azure API Management، Azure Data Factory، Azure. Action Group، Azure AI Video Indexer و Azure Chaos Studio.

از سوی دیگر، مایکروسافت او میگوید که برچسب‌های سرویس Azure هرگز به عنوان یک اقدام امنیتی نبوده است.

مایکروسافت گفت: «برچسب‌های سرویس نباید به‌عنوان یک مرز امنیتی در نظر گرفته شوند و فقط باید به عنوان مکانیزم مسیریابی در ارتباط با کنترل‌های اعتبارسنجی استفاده شوند».

برچسب‌های سرویس راه جامعی برای ایمن کردن ترافیک به مبدأ مشتری نیستند و برای جلوگیری از آسیب‌پذیری‌هایی که ممکن است با درخواست‌های وب مرتبط باشد، جایگزین اعتبارسنجی ورودی نمی‌شوند.

بیشتر از TechRadar Pro

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو

ارسال نظر




تبليغات ايهنا تبليغات ايهنا

تمامی حقوق مادی و معنوی این سایت متعلق به خبرکاو است و استفاده از مطالب با ذکر منبع بلامانع است