Researchers Discover 3 Vulnerabilities in Microsoft Azure API Management Service
2023/05/04 TheHackerNews — Microsoft Azure API Management サービスにおいて、機密情報やバックエンド・サービスへのアクセスを試みる脅威アクターに、悪用される可能性のある3つの新たな脆弱性が公開された。イスラエルのクラウド・セキュリティ企業 Ermetic によると、そこに含まれるのは、2つの SSRF (Server-Side Request Forgery) の欠陥と、API Management 開発者ポータルにおける無制限ファイル・アップロード機能の欠陥である。
Continue reading “Microsoft Azure の API Management の脆弱性が FIX:SSRF などに対応 – Ermetic”Microsoft Azure Users Warned of Potential Shared Key Authorization Abuse
2023/04/11 SecurityWeek — Azure Active Directory (Azure AD) の認証情報と同様に、Microsoft Azure Storage アカウントで利用できる認証方法には Shared Key があり、Azure のデフォルト・インフラの一部になっている。この Shared Key は、Azure AD と比較してセキュリティが劣るため、きめ細かいアクセスが必要な場合には、アクセスキーによるストレージ認証は非推奨とされている (組織がリスクにさらされる可能性があるため)。今回、Orca が発見した攻撃シナリオは、こうしたリスクを証明するものであり、Shared Key による認証を無効化する必要性を、セキュリティ・ベストプラクティスとして強調するものである。
Continue reading “Microsoft Azure ユーザーへの警告:侵害された Shared Key 認証がもたらす甚大な被害とは?”Researchers Detail Severe “Super FabriXss” Vulnerability in Microsoft Azure SFX
2023/03/30 TheHackerNews — Azure Service Fabric Explorer (SFX) に存在する、未認証のリモートコード実行につながる脆弱性の詳細が明らかになったが、すでにパッチが適用されたという。この脆弱性 CVE-2023-23383 (CVSS:8.2) は、2022年10月に Microsoft が修正した 脆弱性 FabriXss (CVE-2022-35829 CVSS:6.2) にちなんで、Super FabriXss という名前が ORCA Security により付けられた。
Continue reading “Microsoft Azure SFX の深刻な脆弱性:Super FabriXss と命名された CVE-2023-23383”Microsoft Azure Services Flaws Could’ve Exposed Cloud Resources to Unauthorized Access
2023/01/17 TheHackerNews — Microsoft Azure の4種類のサービスに存在する SSRF (Server-Side Request Forgery) の脆弱性が、クラウド・リソースへの不正アクセスに悪用される可能性のあるものだ。Azure API Management/Azure Functions/Azure Machine Learning/Azure Digital Twins における一連の脆弱性は、2022年10月8日から 2022年12月2日の間に Orca により発見されたものであり、すでに Microsoft による対処が完了している。
Continue reading “Microsoft Azure サービスの4つの SSRF 脆弱性:不正アクセスに悪用の可能性”
IoT OT Security News 