Aggiornamenti recenti Ottobre 31st, 2024 9:00 AM
Giu 06, 2024 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0
I ricercatori di Tenable hanno evidenziato che i Service Tags di Azure possono diventare un pericolo per la sicurezza a causa di una vulnerabilità presente in molti servizi della piattaforma cloud.
I Service Tags vengono usati per raggruppare gli indirizzi IP per uno specifico servizio Azure e semplificare così l’isolamento della rete. I tag possono essere usati per definire delle regole di sicurezza della rete e applicarle a più risorse Azure per il controllo degli accessi, per esempio impostando regole per il filtraggio del traffico.
Di fatto i tag vengono usati specifici range di IP per i servizi Azure in modo che solo questi possano accedere al servizio. Liv Matan di Tenable spiega che questo meccanismo può essere sfruttato per accedere alle risorse dei tenant Azure in combinazione con richieste web opportunamente predisposte.
Nel blog di Tenable, Matan illustra un possibile attacco cross-tenant che coinvolge Azure Application Insights, un servizio di monitoraggio che consente agli sviluppatori di individuare possibili problemi che colpiscono gli altri servizi in tempo reale.
Il servizio ha un service tag associato chiamato “ApplicationInsightsAvailability” relativo a una feature che consente di creare test di disponibilità per un’applicazione o una macchina. Nel creare un test con Application Insights, Azure consiglia agli utenti di usare un Service Tag per restringere il monitoraggio su specifiche porte.
“Un utente ingenuo seguirà il consiglio e applicherà il tag di servizio “ApplicationInsightsAvailability” al suo asset privato nella configurazione di rete Azure,con l’obiettivo di ottenere l’isolamento della rete. Dietro le quinte, vengono consentiti una serie di IP associati all’agente Application Insights Availability” scrive Matan.
A questo punto gli attaccanti possono sfruttare la funzionalità di “availability test”, la quale consente di definire header custom e modificare il metodo HTTP, per creare richieste ad hoc e accedere ai servizi degli utenti che si affidano al service tag impostato nelle regole del firewall, usato idealmente per proteggere le risorse.
Il problema è stato inizialmente individuato in Azure Application Insights, ma il team di Tenable, insieme al Microsoft Security Response Center, ha scoperto che colpisce più di altri dieci servizi, tra i quali Azure DevOps, Azure Machine Learning, Azure Container Registry e Azure API Management.
“Il denominatore comune di questi vari scenari è questa pericolosa combinazione: un servizio che ha un service tag associato e che permette agli utenti di controllare le richieste lato server” spiega Matan. In seguito, Microsoft ha chiarito che non si tratta di una vera vulnerabilità: il pericolo nasce dall’uso superficiale dei tag, credendoli un meccanismo di sicurezza valido.
Tenable ha scoperto e segnalato la vulnerabilità a Microsoft a gennaio, ma la compagnia di Redmond, dopo un’analisi del caso, ha specificato che i tag funzionano come previsto dal design e che semplicemente non possono essere considerati come un meccanismo di sicurezza valido.
“L’accesso cross-tenant è impedito dall’autenticazione e rappresenta un problema solo se questa non viene utilizzata” ha specificato Microsoft. “Tuttavia, questo caso evidenzia un rischio intrinseco nell’utilizzo dei tag come unico meccanismo di controllo del traffico di rete in entrata. I Service Tags non devono essere considerati come un problema di sicurezza e devono essere utilizzati solo come meccanismo di instradamento insieme al controllo di validità”.
Microsoft ha dichiarato di non aver ricevuto segnalazioni su attacchi che hanno sfruttato questo meccanismo. Dopo essere stata contattata da Tenable, la compagnia ha aggiornato le proprie linee guida sull’uso dei Service Tags di Azure, ricordando agli utenti di implementare meccanismi di autenticazione e autorizzazione per il traffico.
Ott 24, 2024 0
Ott 10, 2024 0
Set 13, 2024 0
Lug 31, 2024 0
Ott 31, 2024 0
Ott 30, 2024 0
Ott 30, 2024 0
Ott 29, 2024 0
Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo giorno di...Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 30, 2024 0
Una nuova versione di Qilin attacca mietendo vittime grazie...Ott 30, 2024 0
L’incubo di Spectre è tutt’altro che concluso:...Ott 29, 2024 0
Infostealer e quishing sono due tra le minacce informatiche...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo...