Microsoft Patches Azure Cross-Tenant Data Access Flaw
2022/12/23 SecurityWeek — Azure Cognitive Search (ACS) のバグによる、クロステナントのネットワーク・バイパス攻撃の可能性について、外部研究者の警告を受けた Microsoft は、重要かつ深刻なセキュリティ欠陥をサイレント修正した。Mnemonic の研究者が報告した脆弱性とは、インターネットから隔離された Azure Cognitive Search インスタンスの、ネットワークと ID の境界全体を効果的に取り除いてしまうものである。その結果として、ネットワーク露出が明示されていないインスタンスを含む、あらゆる場所から ACS インスタンスのデータプレーンに対して、クロステナントでのアクセスが可能になるものだ。
Mnemonic の研究者である Emilien Socchi によると、この欠陥が最初に報告されてから約半年後の 2022年8月末に、Microsoft によるサイレント修正が行われたとのことだ。
この、ACSESSED というニックネームで呼ばれる暴露は、ポータルからのアクセスを許可する機能を有効にしている、すべての Azure Cognitive Search インスタンスに影響を及ぼした。
研究者たちは、「この機能を有効にすることで、ACS インスタンスの実際のネットワーク構成に関係なく、任意の場所から ACS インスタンスのデータプレーンへのクロステナント・アクセスを、効果的に許可することになってしまう。この機能には、プライベート・エンドポイントのみで公開されているインスタンスや、調査のために導入したインスタンスなどのように、明示的にネットワークに公開されていないインスタンスも含まれていることに注意してほしい」と警告している。
Mnemonic の研究者によると、「ボタンをクリックするだけで、ACS インスタンスの周囲に設定されたネットワーク境界全体を削除する、脆弱な機能をオンにすることができた」とのことだ。
Microsoft は $10,000 の報奨金を支払い、クロステナントのリスクと悪用のしやすさから、リスクレベルを Moderate から Importantに引き上げたという。
この公開プロセスにおいて、修正が重要な設計レベルの変更を必要としたことでパッチが遅れたと、Microsoft は述べている。
最近の Azure の脆弱性ですが、8月30日の「Microsoft Azure の障害で Ubuntu VM がオフラインに:バグ更新後に発生」や、10月19日の「Azure SFX の脆弱性 CVE-2022-35829 が FIX:管理者権限が不正に取得される可能性」、11月1日の「Azure Cosmos DB の Jupyter Notebooks に存在する深刻な RCE の脆弱性が FIX」などがあります。2022年はクラウドの脆弱性が注目された年でもあります。よろしければ、カテゴリ Cloud を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.