Sintesi
È stata recentemente rilevata una criticità nel prodotto Microsoft Azure relativa ad un utilizzo errato dei Service Tag, che potrebbe consentire a un attaccante di aggirare le regole del firewall basate su Service Tag, attraverso l’invio di richieste opportunamente predisposte provenienti da servizi trusted.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (64,35/100)1.
Tipologia
- Security Feature Bypass
Descrizione e potenziali impatti
È stata recentemente rilevata una criticità nel prodotto Microsoft Azure, relativa ad un utilizzo errato dei Service Tag. Tale funzionalità, ove utilizzata in ambienti privi di sistema di autenticazione e come unico meccanismo per filtrare il traffico di rete in entrata, potrebbe comportare un potenziale accesso a informazioni sensibili presenti sui sistemi target.
Al fine di mitigare i rischi di sicurezza, il team di Microsoft Security Response Center (MSRC) ha recentemente pubblicato una guida aggiornata contenente best practice sull’utilizzo dei Service Tag.
I Service Tag sono delle etichette a cui sono associati gruppi di indirizzi IP. Tale funzionalità, introdotta da Microsoft nel 2018, può semplificare l’isolamento della rete attraverso il raggruppamento di intervalli IP per specifici servizi di Azure. Nel dettaglio, è possibile creare regole nei seguenti ambiti:
- Network Security Group (NSG);
- Firewall Azure;
- User-defined routes (UDRs).
Nell’esempio seguente sono mostrate tre regole di entrata/uscita, due di “Allow” e una di “Deny” per Network Security Group (NSG), al fine di negare il traffico da e verso Internet.
Alcuni servizi Azure potrebbero consentire il traffico in entrata attraverso Service Tag configurati nelle regole di Firewall: in tale contesto, un attaccante del Tenant A potrebbe sfruttare richieste web opportunamente predisposte per accedere alle risorse del Tenant B, qualora configurato per consentire il traffico dal Service Tag e in ambiente privo di meccanismi di autenticazione.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di utilizzare i Service Tag solo come meccanismo di instradamento del traffico in ambienti configurati con livelli di autenticazione e autorizzazione.
Si consiglia inoltre di:
- eseguire controlli per garantire che il traffico provenga da fonti attendibili;
- monitorare regolarmente le regole del firewall e i Service Tag utilizzati per assicurarsi che siano sempre aggiornati e limitate alle specifiche necessità;
- utilizzare i Service Tag insieme ad altre misure di sicurezza come il monitoraggio del traffico di rete tra i tenant;
- documentare le configurazioni e formare il personale IT sulle migliori pratiche e sui potenziali rischi associati all’uso non corretto dei Service Tag.
Per eventuali ulteriori approfondimenti si consiglia di consultare il bollettino di sicurezza di Microsoft, disponibile nella sezione Riferimenti.
Riferimenti
https://msrc.microsoft.com/blog/2024/06/improved-guidance-for-azure-network-service-tags
https://learn.microsoft.com/en-us/azure/virtual-network/ip-based-access-control-list-overview
https://www.tenable.com/security/research/tra-2024-19
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
