Aggiornamenti recenti Ottobre 29th, 2025 2:50 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Atlas, browser basato su ChatGPT, consente l’injection di comandi malevoli
- I cyberattacchi al governo U.S.A. sono quasi raddoppiati dopo lo “shutdown”
- Dante, lo spyware italiano usato in campagne di cyberspionaggio
- CERT-AGID 18–24 ottobre: phishing a tema PagoPA e Fascicolo Sanitario
- Il Pwn2Own Irlanda si è concluso con oltre 1 milione di dollari di vincite
I service tags di Azure sono un rischio per la sicurezza? Microsoft non è d’accordo
I ricercatori di Tenable hanno evidenziato che i Service Tags di Azure possono diventare un pericolo per la sicurezza a causa di una vulnerabilità presente in molti servizi della piattaforma cloud.
I Service Tags vengono usati per raggruppare gli indirizzi IP per uno specifico servizio Azure e semplificare così l’isolamento della rete. I tag possono essere usati per definire delle regole di sicurezza della rete e applicarle a più risorse Azure per il controllo degli accessi, per esempio impostando regole per il filtraggio del traffico.
Pixabay
Di fatto i tag vengono usati specifici range di IP per i servizi Azure in modo che solo questi possano accedere al servizio. Liv Matan di Tenable spiega che questo meccanismo può essere sfruttato per accedere alle risorse dei tenant Azure in combinazione con richieste web opportunamente predisposte.
Nel blog di Tenable, Matan illustra un possibile attacco cross-tenant che coinvolge Azure Application Insights, un servizio di monitoraggio che consente agli sviluppatori di individuare possibili problemi che colpiscono gli altri servizi in tempo reale.
Il servizio ha un service tag associato chiamato “ApplicationInsightsAvailability” relativo a una feature che consente di creare test di disponibilità per un’applicazione o una macchina. Nel creare un test con Application Insights, Azure consiglia agli utenti di usare un Service Tag per restringere il monitoraggio su specifiche porte.
“Un utente ingenuo seguirà il consiglio e applicherà il tag di servizio “ApplicationInsightsAvailability” al suo asset privato nella configurazione di rete Azure,con l’obiettivo di ottenere l’isolamento della rete. Dietro le quinte, vengono consentiti una serie di IP associati all’agente Application Insights Availability” scrive Matan.
A questo punto gli attaccanti possono sfruttare la funzionalità di “availability test”, la quale consente di definire header custom e modificare il metodo HTTP, per creare richieste ad hoc e accedere ai servizi degli utenti che si affidano al service tag impostato nelle regole del firewall, usato idealmente per proteggere le risorse.
Il problema è stato inizialmente individuato in Azure Application Insights, ma il team di Tenable, insieme al Microsoft Security Response Center, ha scoperto che colpisce più di altri dieci servizi, tra i quali Azure DevOps, Azure Machine Learning, Azure Container Registry e Azure API Management.
“Il denominatore comune di questi vari scenari è questa pericolosa combinazione: un servizio che ha un service tag associato e che permette agli utenti di controllare le richieste lato server” spiega Matan. In seguito, Microsoft ha chiarito che non si tratta di una vera vulnerabilità: il pericolo nasce dall’uso superficiale dei tag, credendoli un meccanismo di sicurezza valido.
I Service Tags di Azure sono vulnerabili? Microsoft chiarisce
Tenable ha scoperto e segnalato la vulnerabilità a Microsoft a gennaio, ma la compagnia di Redmond, dopo un’analisi del caso, ha specificato che i tag funzionano come previsto dal design e che semplicemente non possono essere considerati come un meccanismo di sicurezza valido.
“L’accesso cross-tenant è impedito dall’autenticazione e rappresenta un problema solo se questa non viene utilizzata” ha specificato Microsoft. “Tuttavia, questo caso evidenzia un rischio intrinseco nell’utilizzo dei tag come unico meccanismo di controllo del traffico di rete in entrata. I Service Tags non devono essere considerati come un problema di sicurezza e devono essere utilizzati solo come meccanismo di instradamento insieme al controllo di validità”.
Microsoft ha dichiarato di non aver ricevuto segnalazioni su attacchi che hanno sfruttato questo meccanismo. Dopo essere stata contattata da Tenable, la compagnia ha aggiornato le proprie linee guida sull’uso dei Service Tags di Azure, ricordando agli utenti di implementare meccanismi di autenticazione e autorizzazione per il traffico.
Condividi l'articolo
Gli eventi di sicurezza sono in aumento, +300% quelli con gravità critica
Le preoccupazioni dei CISO vengono minimizzate dai leader aziendali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware... -
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Atlas, browser basato su ChatGPT, consente... I ricercatori di LayerX hanno scoperto una vulnerabilità... -
I cyberattacchi al governo U.S.A. sono quasi raddoppiati... L’interruzione delle attività governative negli... -
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware...
-
CERT-AGID 18–24 ottobre: phishing a tema PagoPA e... Nel periodo compreso tra il 18 e il 24 ottobre,... -
Il Pwn2Own Irlanda si è concluso con oltre 1 milione di... Il Pwn2Own di ottobre, tenutosi a Cork, in Irlanda, si...
Ransomware: la serie
No posts found.