Microsoft Azure Services Flaws Could’ve Exposed Cloud Resources to Unauthorized Access
2023/01/17 TheHackerNews — Microsoft Azure の4種類のサービスに存在する SSRF (Server-Side Request Forgery) の脆弱性が、クラウド・リソースへの不正アクセスに悪用される可能性のあるものだ。Azure API Management/Azure Functions/Azure Machine Learning/Azure Digital Twins における一連の脆弱性は、2022年10月8日から 2022年12月2日の間に Orca により発見されたものであり、すでに Microsoft による対処が完了している。
Orca の研究者である Lidor Ben Shitrit は、The Hacker News と共有したレポートの中で、「Azure の SSRF 脆弱性の悪用に成功した攻撃者は、ローカル・ポートをスキャンし、新しいサービス/エンドポイント/機密ファイルなどの閲覧を可能にする。それにより、潜在的に脆弱なサーバとサービスに関する機密情報が窃取され、攻撃の標的に関するエントリとロケーションが悪用される」と述べている。
Azure Functions/Azure Digital Twins における脆弱性は、未認証者による悪用の可能性があり、Azure アカウントを持っていない脅威アクターであっても、サーバの制御が可能になる。
SSRF の悪用に成功した攻撃者は、内部リソースの読み取り/更新を実行できるために、深刻な被害をもたらす可能性が生じる。さらに、ネットワーク内の他所へピボットし、他の方法では到達できないシステムに侵入して、貴重なデータを窃取することも可能だ。
これらの脆弱性のうち、3つは深刻度 Important と評価されており、Azure Machine Learning の SSRF 脆弱性は、深刻度 Low と評価されている。一連の脆弱性により、サーバの操作を介して、影響を受けやすいターゲットへの連鎖的な攻撃が発生する。
4つの SSRF 脆弱性の概要は、以下のとおりだ。
- Azure Digital Twins Explorer:/proxy/blob エンドポイントの欠陥を利用した未認証の SSRF により、”blob.core.windows[.]net” をサフィックスとする任意のサービスから応答を取得できる。
- Azure Functions:認証されていない SSRF を悪用して、ローカル・ポートを列挙し、内部エンドポイントにアクセスできる可能性がある。
- Azure API Management:認証された SSRF を悪用して、ソースコード管理サービスに関連するポートを含む内部ポートをリストアップし、機密ファイルへのアクセスに使用される可能性がある。
- Azure Machine Learning:認証された SSRF を悪用して、/datacall/streamcontent エンドポイントを経由して任意のエンドポイントからコンテンツを取得するために悪用される可能性がある。
このような脅威を軽減するためには、最小特権の原則 (PoLP) を遵守することが推奨されるが、その具体的な内容は、すべての入力の検証/不可欠なインバウンド・アウトバウンド・トラフィックの許可/誤設定の回避などとなる。
Ben Shitrit は、「今回の発見で最も注目すべき点は、最小限の労力で発見された SSRF の脆弱性の件数である。つまり、クラウド環境における SSRF の普及率とリスクを示している」と述べている。
サーバー・サイド・リクエスト・フォージェリ (SSRF:Server Side Request Forgery) とは、Webアプリケーションに対して、ファイアウォールや VPN などのアクセス制御をバイパスし、特殊な URL を含む HTTP リクエストを送信するところから始まるようです。2023/01/05 の Exchange の ProxyNotShell 緩和策を回避する攻撃でも、悪用されたのは SSRF の脆弱性とのことです。
IoT OT Security News 
You must be logged in to post a comment.