bleepingcomputer網6月3日報道,Tenable 的安全研究人員在微軟的 Azure 服務標記中發現了他們所描述的高嚴重性漏洞,該漏洞可能允許攻擊者訪問客戶的私人數據。
服務標記是特定 Azure 服務的 IP 地址組,用于防火墻篩選和基于 IP 的訪問控制列表 (ACL),當需要網絡隔離來保護 Azure 資源時。這是通過阻止傳入或傳出 Internet 流量并僅允許 Azure 服務流量來實現的。
Tenable 的 Liv Matan 解釋說,威脅行為者可以利用該漏洞制作類似 SSRF 的惡意 Web 請求,以模擬受信任的 Azure 服務并繞過基于 Azure 服務標記的防火墻規則,這些標記通常用于保護 Azure 服務和敏感數據,而無需進行身份驗證檢查。
“這是一個高嚴重性的漏洞,可能允許攻擊者訪問Azure客戶的私人數據。”Matan說。
攻擊者可以利用“經典測試”或“標準測試”功能中的“可用性測試”功能,允許他們訪問內部服務,并可能暴露托管在端口 80/443 上的內部 API。