2025/05/09 SecurityOnline — Microsoft が発表したのは、Azure Automation/Azure Storage/Azure DevOps/Microsoft Power Apps などの、複数のコア・クラウド・サービスに影響を与える、一連の深刻な脆弱性への対処である。これらの脆弱性は、いずれも公開されておらず、実際に悪用された例もないが、その潜在的な影響が浮き彫りにするのは、クラウド・ネイティブ開発環境における積極的なセキュリティ対策の重要性である。
CVE-2025-29813 (CVSS:10.0)
Azure DevOps パイプライン・トークン・ハイジャック
Azure DevOps に存在する、深刻な脆弱性 CVE-2025-29813 の CVSS スコアは 10.0 である。Microsoftによると、この脆弱性を悪用する、プロジェクト・レベルのアクセス権を持つ攻撃者は、短期パイプライン・ジョブ・トークンを長期トークンにすり替え、プロジェクト環境全体における権限昇格の可能生を得るという。
Microsoft は、「この脆弱性を悪用する攻撃者は、プロジェクトへのアクセス権限を拡大する可能性がある。これらの機密性の高いトークンを、Visual Studio アップデータが処理する方法に問題がある。したがって、トークン処理ロジックの修正により、不適切な権限昇格を防止した」と述べている。
CVE-2025-29827 (CVSS 9.9)
Azure Automation における不適切な認証
Azure Automation に存在する、権限昇格の脆弱性。この脆弱性を悪用する正規ユーザーは、不適切な認証を介して、ネットワーク経由で権限を昇格する可能性を得る。この脆弱性の悪用は、承認された攻撃者に限定されるが、共有環境やマルチテナント環境では重大な脅威となる。
CVE-2025-29972 (CVSS 9.9)
SSRF による Azure Storage Resource Provider のスプーフィング
Azure Storage Resource Provider 内のサーバ・サイド・リクエスト・フォージェリ (SSRF) ベクターを悪用するスプーフィングの脆弱性。SSRF の仕組みを悪用する承認済の攻撃者は、他のサービスやユーザーになりすまし、細工したリクエストを送信できる。
CVE-2025-47733 (CVSS 9.1)
Microsoft Power Apps の情報漏えい
Microsoft Power Apps に存在する SSRF の欠陥を悪用する攻撃者に対して、ネットワーク経由での情報漏洩を許す可能性がある脆弱性。上記の脆弱性とは異なり、この脆弱性は事前の認証を必要としないため、パッチを適用せずに放置すると、潜在的なリスクが高まる。
対応は不要
一連の脆弱性のうちの3件は、CVSS スコアが 9.0 を超えており、深刻度が高いものとなるが、ユーザーによる対応は不要だと、Microsoft は強調している。すべての脆弱性はプラットフォーム・レベルで軽減されており、公開前に悪用に対する防止策が施されている。
Microsoft Azure/Power Apps の4件の脆弱性が FIX しました。いずれも CVSS スコアが 9.0 以上の深刻度が高いものですが、Microsoft によると、ユーザーによる対応は不要とのことです。よろしければ、以下の関連記事も、Microsoft で検索と併せて、ご参照ください。
2025/05/01:Commvault の CVE-2025-3928:Azure での悪用
2024/11/04:セキュリティ・ツール Halberd:Azure サポート
2024/11/04:Secret Vault 操作ツール Whispr:Azure に対応
IoT OT Security News 
You must be logged in to post a comment.