microsoft parece haber tenido un ligero cambio de opinión en lo que respecta al riesgo de seguridad que Azur Las etiquetas de servicio están posando.
Si bien inicialmente afirmó que la herramienta nunca fue una medida de seguridad, la compañía ahora advierte a los usuarios que existen escenarios en los que las etiquetas de servicio podrían usarse para obtener acceso no autorizado a los recursos de la nube.
Microsoft enfatizó que tales escenarios aún no se han observado en la naturaleza y que no hay evidencia de abuso en el mundo real (todavía).
No es un límite de seguridad
A principios de 2024, los investigadores de ciberseguridad de Tenable afirmaron Las etiquetas de servicio de Azure eran vulnerables a una falla eso podría permitir que los actores de amenazas roben datos confidenciales de las personas. Las etiquetas de servicio son una característica que ayuda a simplificar la administración de la seguridad de la red al permitir a los usuarios definir controles de acceso a la red basados en grupos lógicos de direcciones IP en lugar de direcciones IP individuales. Estas etiquetas de servicio representan un grupo de prefijos de direcciones IP de servicios específicos de Azure, que se pueden usar en reglas de seguridad para grupos de seguridad de red (NSG), rutas definidas por el usuario (UDR) y Azure Firewall.
Tenable dijo que la herramienta podría usarse para crear solicitudes web maliciosas similares a SSRF y así hacerse pasar por servicios confiables de Azure. Por lo tanto, cualquier regla de firewall basada en etiquetas de servicio de Azure se vuelve discutible.
En ese momento, Microsoft enfatizó que las etiquetas de servicio «no deben tratarse como un límite de seguridad y solo deben usarse como un mecanismo de enrutamiento junto con controles de validación».
En un documento «Guía mejorada para etiquetas de servicio de red Azure», publicado en el sitio web de Microsoft a principios de este mes, duplicó esta evaluación, pero advirtió que existe algún riesgo:
“Nuestro socio de la industria, Tenable Inc., notificó al Microsoft Security Response Center (MSRC) en enero de 2024 sobre el potencial de acceso entre inquilinos a recursos web mediante la función de etiquetas de servicio. Microsoft reconoció que Tenable brindó una valiosa contribución a la comunidad de Azure al resaltar que se puede malinterpretar fácilmente cómo usar las etiquetas de servicio y su propósito previsto”, dijo Microsoft.
“La autenticación impide el acceso entre inquilinos y solo representa un problema cuando no se utiliza la autenticación. Sin embargo, este caso resalta un riesgo inherente al uso de etiquetas de servicio como mecanismo único para examinar el tráfico entrante de la red”.
El objetivo de la Guía mejorada, añadió Redmond, era ayudar a las empresas a comprender mejor las etiquetas de servicio y cómo funcionan, y no advertir sobre fallas en el diseño:
«Como siempre, recomendamos encarecidamente a los clientes que utilicen múltiples capas de seguridad para sus recursos», enfatizó Microsoft. “No se requiere ninguna acción obligatoria por parte de los clientes ni se proporcionan mensajes adicionales en el Portal de Azure. Sin embargo, Microsoft recomienda encarecidamente que los clientes revisen proactivamente su uso de etiquetas de servicio y validen sus medidas de seguridad para autenticar sólo el tráfico de red confiable para las etiquetas de servicio”.
A través de TheHackerNoticias