Researchers Discover 3 Vulnerabilities in Microsoft Azure API Management Service
2023/05/04 TheHackerNews — Microsoft Azure API Management サービスにおいて、機密情報やバックエンド・サービスへのアクセスを試みる脅威アクターに、悪用される可能性のある3つの新たな脆弱性が公開された。イスラエルのクラウド・セキュリティ企業 Ermetic によると、そこに含まれるのは、2つの SSRF (Server-Side Request Forgery) の欠陥と、API Management 開発者ポータルにおける無制限ファイル・アップロード機能の欠陥である。
Ermetic のセキュリティ研究者である Liv Matan は、「SSRF の脆弱性の悪用に成功した攻撃者は、サービスの CORS Proxy やホスティング・プロキシ自体からリクエストを送ることで、Azure の内部資産への不正アクセスとサービス拒否に加えて、WAF (Web Application Firewall) のバイパスも可能にする。また、ファイル・アップロード・パストラバーサルを悪用する攻撃者は、Azure にホストされた内部ワークロードに対して、悪意のファイルをアップロードできる」と、The Hacker News と共有したレポートで述べている。
Azure API Management は、マルチ・クラウド管理プラットフォームであり、外部/内部の顧客に対して API を安全に公開し、さまざまな接続エクスペリエンスを可能にするものだ。
Ermetic が特定した2つの SSRF の脆弱性のうちの1つ目は、今年の初めに Orca が報告した同様の脆弱性に対処するために、Microsoft が導入した修正プログラムに対するバイパスである。2つ目の脆弱性は、API Management のプロキシ機能に存在するものである。
これらの SSRF 脆弱性が悪用されると、機密性と完全性が失われ、脅威アクターによる Azure 内部リソースの読み取りと、不正なコードの実行を許すことになる。
その一方で、開発者ポータルで発見されたパストラバーサルの脆弱性は、アップロードされたファイルのタイプ/パスの検証不足に起因している。この抜け穴を悪用する認証済みのユーザーは、悪意のファイルを開発者ポータル・サーバにアップロードし、基礎となるシステム上で任意のコード実行を可能にする。
Ermetic から Microsoft へと開示が行われた後に、3つの欠陥に対するパッチが適用された。
先日には Orca の研究者が、Microsoft Azure の設計上の欠陥を悪用する攻撃者が、ストレージ・アカウントにアクセスし、環境内で横方向に移動し、さらにはリモート・コードを実行する可能性があることを明らかにした。それから数週間後に、今日の脆弱性が公開された。
また、EmojiDeploy と呼ばれる Azure の脆弱性も発見され、標的とするアプリケーションの制御を、攻撃者に許す可能性があることも明らかになった。
400人のセキュリティ専門家と API 開発者を対象とした、調査の回答から作成された Salt Security の 2023/03/29 のレポート「API セキュリティの調査:この6ヶ月の攻撃件数が 400% も増加している」には、タイトルにあるように、API を介した攻撃が急増している状況が記されています。クラウド/オンプラミスに関係なく、API が危険な状況にあることを認識しておく必要がありそうです。よろしければ、以下の関連記事も、ご参照ください。
2023/04/13:Shadow API の調査:最も脆弱な存在について考える
2023/03/08:API 悪用の脅威がスピードアップ:攻撃の頻度も増大
2023/03/07:Toyota Customer 360 の深刻な API 脆弱性が FIX
2023/01/26:Windows CryptoAPI の脆弱性:PoC エクスプロイト
2023/01/20:T-Mobile:API 攻撃により 3,700万人分の顧客情報が漏えい
IoT OT Security News 
You must be logged in to post a comment.