2024/06/11

Azure ネットワークサービスタグで脆弱性が発生　悪用の可能性

2024年6月3日　Microsoft は、悪意のある人物が Azure サービスタグを悪用して、信頼できるサービスからのリクエストを偽造し、UTMのルールを回避して、クラウドリソースへの不正アクセスを取得する可能性があることについてMicrosoft とTenableが発表しました。

脆弱性の内容

Azure の複数のサービスでは、顧客が Web リクエストを作成できます。一部のサービスでは、要求にヘッダーを追加したり、HTTP メソッドを変更したりすることもできます。

これは、これらのサービスの意図された機能の一部です。たとえば、Azure Application Insight の可用性テスト機能は、クライアントによって展開されたアプリケーションの可用性をテストするため、クライアントは機能テストを作成するために要求を完全に制御する必要があります。

ただし、この機能により、悪意のある攻撃者がサーバー側SSRF（Server Side Request Forgery）の脆弱性と同様の影響を及ぼす可能性があります。

SSRF により、攻撃者はサーバー側アプリケーションに、内部または外部の意図しない場所にリクエストを送信させることができ、攻撃者は、他のオプションの中でも、以前はアクセスできなかったリソースにアクセスしたり、公開したりできるようになります。

サービスがユーザーにサーバー側の要求を制御するオプションを付与し、そのサービスが Azure サービスタグに関連付けられている場合、顧客が追加の保護レイヤーを持たないと、リスクが発生する可能性があります。

Azure サービスタグは、特定の Azure サービスの IP アドレスの範囲を表し、ファイアウォールフィルタリング、ネットワークセキュリティグループ (NSG)、ユーザー定義ルート (UDR) などのネットワーク構成に使用されます。

サービスタグのこの機能は、Azure サービスとユーザーのサービスエンドポイント間のネットワークトラフィックを許可するために不可欠です。

サービスタグの柔軟な使用ケースを考えると、利用者はテナント間のネットワークトラフィックとサービスの特定のシナリオを考慮する必要があります。

サービスタグは、顧客の送信元へのトラフィックを保護する包括的な方法ではなく、Web リクエストに関連する脆弱性を防ぐための入力検証に代わるものではありません。

入力検証は、トラフィックの送信元とトラフィックの送信者を確認するために使用されます。階層化されたネットワークセキュリティアプローチには、追加の認証および承認チェックを実装する必要があります。

Microsoftは、Microsoft 仮想ネットワークサービスタグの使用状況を確認し、Azure テナント間のネットワークトラフィックを保護するために追加の対策を講じる必要があるかどうかを評価することを強くすすめています。

Azure サービスタグの使用状況を確認した後、次のことを行うことができます。

Microsoft サービスタグの新しいベストプラクティスの記事を確認し、サービスによって特定のガイダンスが提供されている場合はそれに従う。
Azure セキュリティの基礎ドキュメントを確認して、Azure プラットフォームとインフラストラクチャが、一般的なベストプラクティスとセキュリティのベストプラクティスを考慮して設定されていることを確認する。
Azure Monitor のドキュメントを確認し、Azure プラットフォームとインフラストラクチャでシステムイベントを収集、分析、応答するための適切な監視コントロールが有効になっていることを確認する。

見ると面白い記事