Microsoft waarschuwt voor het potentiële misbruik van Azure Service Tags door kwaadwillende actoren om verzoeken van een vertrouwde service te vervalsen en firewallregels te omzeilen, waardoor ze ongeautoriseerde toegang kunnen krijgen tot cloudbronnen.
“Deze zaak benadrukt een inherent risico bij het gebruik van servicetags als een enkel mechanisme voor het controleren van inkomend netwerkverkeer”, aldus het Microsoft Security Response Center (MSRC) in een richtlijn die vorige week werd uitgegeven.
“Servicetags mogen niet worden behandeld als een beveiligingsgrens en mogen alleen worden gebruikt als routeringsmechanisme in combinatie met validatiecontroles. Servicetags zijn geen alomvattende manier om verkeer naar de oorsprong van een klant te beveiligen en zijn geen vervanging van invoervalidatie om kwetsbaarheden te voorkomen die mogelijk verband houden met webverzoeken.”
De verklaring is een reactie op bevindingen van cybersecuritybedrijf Tenable, dat ontdekte dat Azure-klanten wier firewallregels afhankelijk zijn van Azure Service Tags kunnen worden omzeild. Er is geen bewijs dat deze functie in het wild is uitgebuit.
Het probleem komt in de kern voort uit het feit dat sommige Azure-services inkomend verkeer toestaan via een servicetag, waardoor een aanvaller in de ene tenant mogelijk speciaal vervaardigde webverzoeken kan verzenden om toegang te krijgen tot bronnen in een andere tenant, ervan uitgaande dat deze is geconfigureerd om staat verkeer van de servicetag toe en voert zelf geen enkele authenticatie uit.
Er zijn tien Azure-services kwetsbaar bevonden: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer en Azure Chaos Studio.
“Deze kwetsbaarheid stelt een aanvaller in staat verzoeken aan de serverzijde te controleren en zo vertrouwde Azure-services na te bootsen”, aldus Tenable-onderzoeker Liv Matan. “Hierdoor kan de aanvaller netwerkcontroles op basis van servicetags omzeilen, die vaak worden gebruikt om openbare toegang tot de interne assets, gegevens en services van Azure-klanten te voorkomen.”
Als reactie op de onthulling eind januari 2024 heeft Microsoft de documentatie bijgewerkt om expliciet op te merken dat “Servicetags alleen niet voldoende zijn om verkeer te beveiligen zonder rekening te houden met de aard van de service en het verkeer dat deze verzendt.”
Het wordt ook aanbevolen dat klanten hun gebruik van servicetags herzien en ervoor zorgen dat ze adequate beveiligingsmaatregelen hebben getroffen om alleen vertrouwd netwerkverkeer voor servicetags te authenticeren.
