I ricercatori di sicurezza di Tenable hanno scoperto una vulnerabilità ad alta gravità su Azure Service Tags. Questo bug potrebbe consentire agli aggressori di accedere ai dati privati dei clienti. I Service Tag sono gruppi di indirizzi IP per un servizio di Azure specifico usati per il filtro firewall e gli elenchi di controllo di accesso (ACL) basati su IP quando è necessario l'isolamento della rete per salvaguardare le risorse di Azure. Ciò si ottiene bloccando il traffico Internet in entrata o in uscita e consentendo solo il traffico dei servizi di Azure. Secondo Liv Matan di Tenable la vulnerabilità può essere sfruttata per creare richieste web dannose simili a SSRF per impersonare servizi di Azure affidabili. In questo modo è possibile aggirare le regole del firewall basate sui Azure Service Tags. Quest’ultimi sono spesso usati per proteggere i servizi Azure e i dati sensibili senza controlli di autenticazione.
Gli aggressori possono sfruttare la funzionalità "test di disponibilità" nella funzionalità "test classico" o "test standard". Ciò consente loro di accedere ai servizi interni e potenzialmente esporre le API interne ospitate sui port 80/443.Ciò può essere ottenuto abusando della funzionalità di test di disponibilità del servizio Application Insights Availability, che garantisce agli aggressori la possibilità di aggiungere intestazioni personalizzate, modificare metodi e personalizzare le proprie richieste HTTP secondo necessità. Matan ha condiviso ulteriori informazioni nel suo report sull'abuso di intestazioni personalizzate e Azure Service Tags per accedere ad API interne, solitamente non esposte. Secondo Matan: "Poiché Microsoft non prevede di rilasciare una patch per questa vulnerabilità, tutti i clienti di Azure sono a rischio. Raccomandiamo vivamente ai clienti di rivedere immediatamente la documentazione centralizzata rilasciata da MSRC e di seguire attentamente le linee guida".
Azure Service Tags: per Microsoft nessuna prova di sfruttamento negli attacchi
Per difendersi dagli attacchi che sfruttano questo problema, Tenable consiglia ai clienti di Azure di aggiungere ulteriori livelli di autenticazione e autorizzazione oltre ai controlli di rete basati sui Service Tags per proteggere le proprie risorse dall'esposizione. La società aggiunge che gli utenti di Azure dovrebbero presumere che le risorse nei servizi interessati siano esposte pubblicamente se non sono adeguatamente protette. Come riportato ancora da Matan: "Quando configuri le regole di rete dei servizi Azure, tieni presente che i tag di servizio non sono un modo impermeabile per proteggere il traffico verso il tuo servizio privato. Garantendo che venga mantenuta una forte autenticazione di rete, gli utenti possono difendersi con un ulteriore e cruciale livello di sicurezza."
Tuttavia, Microsoft non è d'accordo con la valutazione di Tenable secondo cui si tratta di una vulnerabilità di Azure. L’azienda di Redmond ha infatti dichiarato che: "i Service Tags non devono essere trattati come un limite di sicurezza e dovrebbero essere utilizzati solo come meccanismo di routing insieme ai controlli di convalida. I Service Tags non sono un modo completo per proteggere il traffico verso l'origine di un client. Inoltre, non sostituiscono la convalida dell'input per prevenire vulnerabilità che potrebbero essere associate alle richieste web". Microsoft afferma che sono necessari ulteriori controlli di autorizzazione e autenticazione per un approccio alla sicurezza di rete a più livelli per proteggere gli endpoint dei servizi Azure dei clienti da tentativi di accesso non autorizzati. Infine, Redmond sostiene che il suo team di sicurezza o terze parti non hanno ancora trovato prove di sfruttamento dei Service Tags negli attacchi.