前情回顾·全球公有云漏洞频发
安全内参7月4日消息,以色列身份安全厂商Token Security安全专家近期开展了一项深入调查,揭示微软Azure云平台RBAC(基于角色的访问控制)架构中存在严重安全漏洞。
Azure RBAC是该云平台权限管理的核心机制,允许管理员根据不同的范围(从整个订阅到具体资源)为用户、用户组或服务主体分配具有预定义权限的角色。
然而调查发现,多个原本设计用于提供受限、特定服务访问权限的内置角色存在配置错误,其实际权限远远超出设定范围。
包括“托管应用读取”和“日志分析读取”在内,有10个角色被错误地授予了过于宽泛的*/read权限,实际上等同于通用的“读取者”(Reader)角色。
图:角色分配
这一问题导致用户能够访问所有Azure资源的敏感元数据,权限范围远超这些角色描述所设定的界限。
权限的过度授予可能使攻击者得以从自动化账户中提取凭证、绘制网络配置图以辅助后续攻击,并在存储账户或备份保管库中发现关键数据,为权限提升和攻击部署创造有利条件。
图:过度授权的三类滥用方式,包括敏感数据发现、凭据窃取、攻击规划
利用Azure API泄露VPN预共享密钥
更严重的是,研究人员还发现Azure API中存在一个关键漏洞,仅凭读取权限即可泄露VPN网关的预共享密钥(PSK)。
通常,Azure通过HTTP方法区分权限控制。只读操作使用GET,而访问敏感数据则需通过POST请求,以防止未经授权的访问。
然而,由于API设计上的疏漏,VPN连接的共享密钥竟被设置为通过GET请求获取,从而绕过了应有的安全防护机制。
这一漏洞使得攻击者即便仅拥有最低级别的读取权限(通常由上述过度授权的角色授予),也能够获取站点到站点(S2S)VPN连接的PSK。
一旦获取该密钥,恶意行为者便可建立恶意连接,进而未经授权地访问内部云资源、虚拟私有云(VPC)乃至通过Azure VPN网关连接的本地网络。
这一漏洞将本应无害的读取权限转变为入侵网络的入口。在云与本地系统深度融合的混合环境中,其后果尤为严重。
微软回应
漏洞披露后,微软将这些过度授权的内置角色定性为“低严重性”问题,仅选择更新相关文档,而未限制其权限设置,致使组织仍面临角色被滥用的风险。
相比之下,VPN PSK泄露问题被认定为“严重”漏洞并迅速修复。现在访问密钥必须具备特定权限(Microsoft.Network/connections/sharedKey/action),同时微软还向漏洞发现者支付了7500美元的漏洞赏金。
为防范类似威胁,组织应主动审计并限制上述已识别的过度授权角色的使用,改为基于最小必要权限原则创建自定义角色。
同时,应将角色权限范围限制在具体资源或资源组内,而非整个订阅,从而进一步降低潜在风险。
云安全是服务提供商与客户共同承担的责任。此次事件再次提醒我们:对平台工具的盲目信任可能酿成严重安全后果。
要实现稳健的安全防护,必须持续监控和验证权限配置,防止基于身份的攻击在Azure环境中发生。
参考资料:https://gbhackers.com/azure-api-vulnerabilities-expose-vpn-keys/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
