一般的な Azure サービスの構成ミスと脆弱なセキュリティ制御を悪用する攻撃チェーンは、可視性の欠如がクラウド プラットフォームのセキュリティに与える影響を浮き彫りにしています。
「EmojiDeploy」攻撃チェーンにより、攻撃者は Web サーバーの許可を得て任意のコードを実行し、機密データを盗んだり削除したり、標的のアプリケーションを侵害したりできる可能性があると、Ermetic はその中で述べています。 19月XNUMX日注意報. Ermetic によると、攻撃者は、一般的なソース コード管理 (SCM) サービスに影響を与える XNUMX つのセキュリティ問題を利用する可能性があります。これは、多くの Azure アプリケーションで使用されるクラウド サービスであり、ユーザーに明示的に通知する必要はありません。
この問題は、クラウド プラットフォームのセキュリティが、クラウド プラットフォームが内部で何を行っているかを可視化できないために損なわれていることを示していると、Ermetic の調査責任者である Igal Gofman は述べています。
「Azure とクラウド サービスの消費者 (企業) は、各サービスとその内部に精通している必要があり、クラウド プロバイダーが提供する既定の設定が常に安全であるとは信じていません」と彼は言います。 「クラウド プロバイダーがクラウド インフラストラクチャの保護に何百万ドルも費やしたとしても、構成ミスやセキュリティ バグが発生するでしょう。」
EmojiDeploy リサーチ セキュリティ研究者によって最近発見された他の攻撃チェーンに加わり、クラウド プラットフォームでのデータ侵害やクラウド サービスの侵害につながる可能性があります。 たとえば、2022 年 XNUMX 月に、研究者は Atlassian の Jira Align に XNUMX つの脆弱性が見つかりましたアジャイル プロジェクト管理アプリケーションである . 2022 年 XNUMX 月、Amazon はアマゾン ウェブ サービス (AWS) プラットフォームの XNUMX つのセキュリティ問題を修正しました。 別の顧客のクラウド インフラストラクチャを制御する.
攻撃者は取るだけです XNUMX歩の平均 — 多くの場合、78% のケースで脆弱性から始まり — クラウド サービス上の機密データが危険にさらされることが、ある分析で判明しました。
「クラウド システムは非常に複雑です」と Ermetic 氏は述べています。 「あなたが働いているシステムと環境の複雑さを理解することは、それを守るために不可欠です。」
ソース コード マネージャーのエクスプロイト
Ermetic が発見した攻撃は、Source Code Manager (SCM) の特定の Cookie 構成のセキュリティの悪さを利用していました。 Ermetic のアドバイザリによると、Azure サービスは、クロスサイト スクリプティング (XSS) 防止とクロスサイト リクエスト フォージェリ (XSRF) 防止の XNUMX つの制御をデフォルトの "Lax" に設定しました。
これらの設定の影響をさらに調査した後、Ermetic の研究者は、XNUMX つの一般的な Azure サービス (Azure App Service、Azure Functions、および Azure Logic Apps) のいずれかを使用しているユーザーが、脆弱性を通じて攻撃される可能性があることを発見しました。 これら XNUMX つの主要なサービスはすべてソース コード管理 (SCM) パネルを使用して、開発チームと Web チームが Azure アプリケーションを管理できるため、攻撃が可能になりました。 SCM は、Git に似た .NET フレームワークであるオープン ソースの Kudu リポジトリ管理プロジェクトに依存しているため、オープン ソース プロジェクトのクロスサイト スクリプティングの脆弱性も Azure SCM に影響します。
残念ながら、セキュリティ設定は明らかではないと Ermetic は述べ、多くのことを付け加えました。 Azure Web サービスのお客様 の存在すら知らないだろう SCM パネル。
ただし、単一の脆弱性では十分ではありません。 研究者は、Web サイトのすべてのコンポーネントが同じ発信元からのものであるというクラウド サービスのチェックをバイパスする特別に細工された URL と、緩い Cookie セキュリティを組み合わせました。 XNUMX つのコンポーネントを組み合わせることで、完全なクロスオリジン攻撃が可能になると、Ermetic はその勧告で述べています。 XNUMX つ目の弱点により、特定のアクションやペイロードを攻撃に組み込むこともできました。
責任の共有は構成の透明性を意味します
攻撃チェーンは、クラウド プロバイダーがセキュリティ制御をより透過的にし、より安全な構成をデフォルトにする必要があることを強調しています。 責任の共有は長い間クラウド セキュリティのモットーでしたが、クラウド インフラストラクチャ サービスは、セキュリティ コントロールへの容易なアクセスや統合を常に提供しているわけではありません。
「クラウドはプロバイダーと顧客の間でセキュリティの共有責任モデルを使用しているため、デフォルトのサービス設定と構成を認識することが重要です」と彼は言います。 「最小権限の原則を適用し、共有責任モデルを認識することが非常に重要です。」
アドバイザリによると、Emetic は XNUMX 月に Microsoft に攻撃チェーンについて通知し、ベンダーは XNUMX 月初旬までに Azure のグローバルな修正プログラムを発行しました。
「組織全体に対する脆弱性の影響は、アプリケーションが管理する ID のアクセス許可に依存します」と Ermetic はその勧告で述べています。 「最小権限の原則を効果的に適用することで、爆発範囲を大幅に制限できます。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud/emojideploy-attack-chain-targets-misconfigured-azure-service
