Azure ネットワーク サービスタグで脆弱性が発生 悪用の可能性
2024年6月3日 Microsoft は、悪意のある人物が Azure サービス タグを悪用して、信頼できるサービスからのリクエストを偽造し、UTMのルールを回避して、クラウド リソースへの不正アクセスを取得する可能性があることについてMicrosoft とTenableが発表しました。
脆弱性の内容
Azure の複数のサービスでは、顧客が Web リクエストを作成できます。一部のサービスでは、要求にヘッダーを追加したり、HTTP メソッドを変更したりすることもできます。
これは、これらのサービスの意図された機能の一部です。たとえば、Azure Application Insight の可用性テスト機能は、クライアントによって展開されたアプリケーションの可用性をテストするため、クライアントは機能テストを作成するために要求を完全に制御する必要があります。
ただし、この機能により、悪意のある攻撃者がサーバー側SSRF(Server Side Request Forgery) の脆弱性と同様の影響を及ぼす可能性があります。
SSRF により、攻撃者はサーバー側アプリケーションに、内部または外部の意図しない場所にリクエストを送信させることができ、攻撃者は、他のオプションの中でも、以前はアクセスできなかったリソースにアクセスしたり、公開したりできるようになります。
サービスがユーザーにサーバー側の要求を制御するオプションを付与し、そのサービスが Azure サービス タグに関連付けられている場合、顧客が追加の保護レイヤーを持たないと、リスクが発生する可能性があります。
顧客向けのガイダンス
Azure サービス タグは、特定の Azure サービスの IP アドレスの範囲を表し、ファイアウォール フィルタリング、ネットワーク セキュリティ グループ (NSG)、ユーザー定義ルート (UDR) などのネットワーク構成に使用されます。
サービス タグのこの機能は、Azure サービスとユーザーのサービス エンドポイント間のネットワーク トラフィックを許可するために不可欠です。
サービス タグの柔軟な使用ケースを考えると、利用者はテナント間のネットワーク トラフィックとサービスの特定のシナリオを考慮する必要があります。
サービス タグは、顧客の送信元へのトラフィックを保護する包括的な方法ではなく、Web リクエストに関連する脆弱性を防ぐための入力検証に代わるものではありません。
入力検証は、トラフィックの送信元とトラフィックの送信者を確認するために使用されます。階層化されたネットワーク セキュリティ アプローチには、追加の認証および承認チェックを実装する必要があります。
対処と確認方法
Microsoftは、Microsoft 仮想ネットワーク サービス タグの使用状況を確認し、Azure テナント間のネットワーク トラフィックを保護するために追加の対策を講じる必要があるかどうかを評価することを強くすすめています。
Azure サービス タグの使用状況を確認した後、次のことを行うことができます。
- Microsoft サービス タグの新しいベスト プラクティスの記事を確認し、サービスによって特定のガイダンスが提供されている場合はそれに従う。
- Azure セキュリティの基礎ドキュメントを確認して、Azure プラットフォームとインフラストラクチャが、一般的なベスト プラクティスとセキュリティのベスト プラクティスを考慮して設定されていることを確認する。
- Azure Monitor のドキュメントを確認し、Azure プラットフォームとインフラストラクチャでシステム イベントを収集、分析、応答するための適切な監視コントロールが有効になっていることを確認する。
見ると面白い記事