Microsoft ha emitido una advertencia sobre el posible abuso de las Etiquetas de Servicio de Azure por parte de actores maliciosos. Esta situación podría llevar a la falsificación de solicitudes de un servicio de confianza, evitando así las reglas del firewall y obteniendo acceso no autorizado a los recursos en la nube.
El Centro de Respuesta de Seguridad de Microsoft (MSRC) enfatizó que las etiquetas de servicio no deben considerarse como un límite de seguridad absoluto. Más bien, se sugiere usarlas como un mecanismo de enrutamiento junto con controles de validación para garantizar la seguridad del tráfico de red entrante y prevenir vulnerabilidades asociadas a las solicitudes web.
Las preocupaciones surgen a raíz del descubrimiento de Tenable, una firma de ciberseguridad, que reveló que las Etiquetas de Servicio de Azure podrían ser evitadas, lo que pone en riesgo a los usuarios cuyas reglas de firewall dependen enteramente de estas etiquetas. Hasta el momento no se ha detectado evidencia de explotación real de esta vulnerabilidad.
El problema radica en que ciertos servicios de Azure permiten el tráfico entrante a través de una etiqueta de servicio. Esto posiblemente habilitaría a un atacante en un inquilino a enviar solicitudes web diseñadas específicamente para acceder a los recursos de otro inquilino, asumiendo que se haya configurado para permitir el tráfico desde esa etiqueta de servicio y no requiera autenticación adicional.
Según las investigaciones de Tenable, se han identificado 10 servicios de Azure vulnerables a esta problemática, incluyendo Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer y Azure Chaos Studio.
La investigadora de Tenable, Liv Matan, explicó que esta vulnerabilidad permite a un atacante controlar las solicitudes en el servidor, lo que le posibilita suplantar servicios de Azure de confianza y burlar los controles de red basados en Etiquetas de Servicio.
En respuesta a este hallazgo, Microsoft ha actualizado su documentación para resaltar que las Etiquetas de Servicio por sí solas no son suficientes para asegurar el tráfico sin considerar la naturaleza del servicio y el tráfico que envía. Además, se insta a los clientes a revisar el uso de las etiquetas de servicio y a implementar controles de seguridad adecuados para autenticar únicamente el tráfico de red confiable.
Vía The Hacker News
