I service tags di Azure sono un rischio per la sicurezza? Microsoft non è d’accordo

Giu 06, 2024 In evidenza, Minacce, News, RSS, Vulnerabilità

I ricercatori di Tenable hanno evidenziato che i Service Tags di Azure possono diventare un pericolo per la sicurezza a causa di una vulnerabilità presente in molti servizi della piattaforma cloud.

I Service Tags vengono usati per raggruppare gli indirizzi IP per uno specifico servizio Azure e semplificare così l’isolamento della rete. I tag possono essere usati per definire delle regole di sicurezza della rete e applicarle a più risorse Azure per il controllo degli accessi, per esempio impostando regole per il filtraggio del traffico.

Di fatto i tag vengono usati specifici range di IP per i servizi Azure in modo che solo questi possano accedere al servizio. Liv Matan di Tenable spiega che questo meccanismo può essere sfruttato per accedere alle risorse dei tenant Azure in combinazione con richieste web opportunamente predisposte.

Nel blog di Tenable, Matan illustra un possibile attacco cross-tenant che coinvolge Azure Application Insights, un servizio di monitoraggio che consente agli sviluppatori di individuare possibili problemi che colpiscono gli altri servizi in tempo reale.

Il servizio ha un service tag associato chiamato “ApplicationInsightsAvailability” relativo a una feature che consente di creare test di disponibilità per un’applicazione o una macchina. Nel creare un test con Application Insights, Azure consiglia agli utenti di usare un Service Tag per restringere il monitoraggio su specifiche porte. 

“Un utente ingenuo seguirà il consiglio e applicherà il tag di servizio “ApplicationInsightsAvailability” al suo asset privato nella configurazione di rete Azure,con l’obiettivo di ottenere l’isolamento della rete. Dietro le quinte, vengono consentiti una serie di IP associati all’agente Application Insights Availability” scrive Matan.

A questo punto gli attaccanti possono sfruttare la funzionalità di “availability test”, la quale consente di definire header custom e modificare il metodo HTTP, per creare richieste ad hoc e accedere ai servizi degli utenti che si affidano al service tag impostato nelle regole del firewall, usato idealmente per proteggere le risorse.

Il problema è stato inizialmente individuato in Azure Application Insights, ma il team di Tenable, insieme al Microsoft Security Response Center, ha scoperto che colpisce più di altri dieci servizi, tra i quali Azure DevOps, Azure Machine Learning, Azure Container Registry e Azure API Management.

“Il denominatore comune di questi vari scenari è questa pericolosa combinazione: un servizio che ha un service tag associato e che permette agli utenti di controllare le richieste lato server” spiega Matan. In seguito, Microsoft ha chiarito che non si tratta di una vera vulnerabilità: il pericolo nasce dall’uso superficiale dei tag, credendoli un meccanismo di sicurezza valido.

I Service Tags di Azure sono vulnerabili? Microsoft chiarisce

Tenable ha scoperto e segnalato la vulnerabilità a Microsoft a gennaio, ma la compagnia di Redmond, dopo un’analisi del caso, ha specificato che i tag funzionano come previsto dal design e che semplicemente non possono essere considerati come un meccanismo di sicurezza valido.

“L’accesso cross-tenant è impedito dall’autenticazione e rappresenta un problema solo se questa non viene utilizzata” ha specificato Microsoft. “Tuttavia, questo caso evidenzia un rischio intrinseco nell’utilizzo dei tag come unico meccanismo di controllo del traffico di rete in entrata. I Service Tags non devono essere considerati come un problema di sicurezza e devono essere utilizzati solo come meccanismo di instradamento insieme al controllo di validità”.

Microsoft ha dichiarato di non aver ricevuto segnalazioni su attacchi che hanno sfruttato questo meccanismo. Dopo essere stata contattata da Tenable, la compagnia ha aggiornato le proprie linee guida sull’uso dei Service Tags di Azure, ricordando agli utenti di implementare meccanismi di autenticazione e autorizzazione per il traffico. 

• Azure, Azure Service Tags, cross-tenant, firewall, Microsoft, Tenable