O vulnerabilitate critică a fost descoperită în Azure API Management, permițând utilizatorilor cu acces de nivel Reader să își escaladeze privilegiile la nivel de Contributor. Aceasta a condus la compromisuri de securitate semnificative și acces neautorizat.
TLDR
- Vulnerabilitate în Azure API Management
- Utilizatorii de nivel Reader își puteau escalada privilegiile
- Microsoft a remediat problema
- Recomandări pentru protejarea resurselor critice
Vulnerabilitatea descoperită
O vulnerabilitate recent descoperită în Azure API Management (APIM) a permis utilizatorilor cu acces de nivel Reader să își escaladeze privilegiile la nivel de Contributor. Această deficiență de securitate a permis utilizatorilor să citească, modifice și chiar să ștergă configurațiile resurselor APIM prin API-ul de Management Direct.
Conform cercetătorilor de la Binary Security, vulnerabilitatea a rezultat dintr-o deficiență în API-ul Azure Resource Manager (ARM), utilizat pentru citirea sau implementarea unei resurse APIM. În timp ce Microsoft a introdus anterior restricții pentru a preveni accesul utilizatorilor de nivel Reader la informații sensibile în versiunile mai noi ale API-ului, bug-ul a eludat aceste restricții.
Impact și exploatare
Pentru a exploata vulnerabilitatea, un atacator cu acces Reader putea efectua un apel la un endpoint specific ARM API pentru a obține cheile utilizatorului admin implicit. Aceste chei puteau fi folosite pentru a genera SharedAccessSignatures, oferind atacatorului acces complet pentru a efectua orice operațiune de management pe resursa APIM prin API-ul de Management Direct.
Această deficiență avea un impact semnificativ, permițând utilizatorilor neautorizați să obțină privilegii elevate și să compromită securitatea resursei APIM și a API-urilor asociate. Atacatorii puteau lista chei de abonament, chei de furnizori de identitate și secrete de valoare numite, și puteau câștiga acces suplimentar la Azure, Entra ID, și alte sisteme integrate.
Remediere și recomandări
Microsoft a adresat vulnerabilitatea într-o lună de la notificare, restricționând accesul la API-ul ARM afectat pentru utilizatorii cu privilegii Reader. Fix-ul a fost aplicat retroactiv tuturor instanțelor de APIM.
Deși vulnerabilitatea a fost remediată, aceasta subliniază importanța implementării măsurilor de apărare în profunzime pentru a proteja resursele critice Azure. Experții recomandă ca resursele critice să fie private și accesibile numai din rețeaua lor virtuală (VNET) și, în funcție de implementare, de la runner-ele CI/CD.
Pe măsură ce mai multe vulnerabilități în resursele Azure sunt susceptibile de a fi descoperite în viitor, organizațiile ar trebui să rămână vigilente și să implementeze proactiv cele mai bune practici de securitate pentru a atenua riscurile potențiale.
Sursa articolului:
https://cybersecuritynews.com/azure-api-management-vulnerability/