Tenable社のセキュリティ研究者は、Azureサービスタグに、攻撃者が顧客の個人データにアクセスできる可能性のある、深刻度の高い脆弱性を発見した。
サービスタグは、Azureリソースを保護するためにネットワークの分離が必要な場合に、ファイアウォールフィルタリングやIPベースのアクセス制御リスト(ACL)に使用される特定のAzureサービスのIPアドレスのグループです。これは、インターネットトラフィックの送受信をブロックし、Azureサービスのトラフィックのみを許可することで実現されます。
Tenable社のLiv Matan氏は、脅威行為者はこの脆弱性を利用して悪意のあるSSRFのようなWebリクエストを作成し、信頼できるAzureサービスになりすまし、認証チェックなしでAzureサービスや機密データを保護するためによく使用されるAzureサービスタグに基づくファイアウォールルールを回避することができると説明しています。
Matan氏は、「これは、攻撃者がAzureの顧客の個人データにアクセスすることを可能にする、重大性の高い脆弱性です」と述べている。
攻撃者は、”classic test “または “standard test “機能における “availability test “機能を悪用することで、内部サービスへのアクセスを可能にし、ポート80/443でホストされている内部APIを公開する可能性がある。
これは、Application Insights Availability サービスの可用性テスト機能を悪用することで実現でき、攻撃者は必要に応じてカスタムヘッダーを追加したり、メソッドを変更したり、HTTP リクエストをカスタマイズしたりすることができます。
Matan氏は、カスタムヘッダとAzure Service Tagsを悪用して、通常は公開されていない内部APIにアクセスすることに関するレポートで、より詳細な技術情報を共有している。
「Microsoftはこの脆弱性に対するパッチを発行する予定がないため、すべてのAzure顧客が危険にさらされている。MSRCが発行した集中ドキュメントを直ちに確認し、ガイドラインに徹底的に従うことを強く推奨する。”
Tenableの研究者は、Azure Application Insightsサービスで発見されたものの、少なくとも他の10件に影響を与えていることを発見した。全リストは以下の通り:
- Azure DevOps
- Azure Machine Learning
- Azure Logic Apps
- Azureコンテナレジストリ
- Azure ロードテスト
- Azure API管理
- Azureデータファクトリー
- Azureアクショングループ
- Azure AIビデオインデクサー
- Azure Chaos Studio
この問題を利用した攻撃を防御するため、TenableはAzureの顧客に対し、Service Tagsに基づくネットワーク制御の上に追加の認証および認可レイヤーを追加し、資産を公開から保護するよう助言している。
同社は、Azureユーザーは、影響を受けるサービス内の資産が適切に保護されていない場合、一般に公開されていると考えるべきだと付け加えている。
「Azureサービスのネットワークルールを設定する際には、サービスタグはプライベートサービスへのトラフィックを保護するための完全な手段ではないことを念頭に置いてください。
「強力なネットワーク認証を確実に維持することで、ユーザーはさらに重要なセキュリティ層で身を守ることができる。

マイクロソフトは同意しない
しかし、マイクロソフトは、これがAzureの脆弱性であるというTenableの評価には同意していない。
「サービスタグはセキュリティ境界として扱われるべきものではなく、検証コントロールと組み合わせてルーティングメカニズムとしてのみ使用されるべきものです。
「サービスタグは、顧客のオリジンへのトラフィックを保護する包括的な方法ではなく、ウェブリクエストに関連する可能性のある脆弱性を防ぐための入力バリデーションに取って代わるものではありません。
同社は、顧客のAzureサービス・エンドポイントを不正アクセスから保護するために、階層化されたネットワーク・セキュリティ・アプローチには、追加の承認と認証チェックが必要だと述べている。
レドモンド社は、同社のセキュリティチームやサードパーティは、攻撃におけるサービスタグの悪用や乱用の証拠をまだ見つけていないと付け加えた。
Comments