本ブログは、Microsoft resolves four SSRF vulnerabilities in Azure cloud services の抄訳版です。最新の情報は原文を参照してください。
概要
最近、Microsoft は Orca Security 社によって報告された 4 つの Azure サービス (Azure API Management、Azure Functions、Azure Machine Learning、Azure Digital Twins) の一連のサーバーサイドリクエストフォージェリ (SSRF) の脆弱性を修正しました。これらの SSRF の脆弱性を悪用しても、機密情報や Azure バックエンド サービスへのアクセスはできないため、リスクは低いと判断しました。SSRF の脆弱性が報告されると、Microsoft は脆弱な URL に対して追加の入力検証を実装することにより、各脆弱性の対処に必要な手順を迅速に実施しました。また、Microsoft は徹底的な調査を実施し、これらの SSRF の脆弱性を使用して、メタデータへのアクセス、内部サービスへの接続、承認されていないデータへのアクセス、またはテナントを超えてのアクセスはできないと判断しました。影響を受ける 4 つの Azure サービスにおいて、ご利用のお客様の操作は必要ありません。
SSRF の脆弱性の影響は環境によって異なりますが、機密性の高い内部エンドポイントへのアクセスやポート スキャンが実施される可能性があります。Microsoft には、トークンの不正な取得、ラテラルムーブメント、コード実行などの特権の乱用を防ぐためのメカニズムがあります。そのため、これら 4 つ の脆弱性によって Azure のサービスやインフラストラクチャに重大な影響はありませんでした。
技術的な詳細
SSRF の脆弱性が報告された 4 つの Azure サービスを以下に記載します。これらが報告されると、Microsoft のエンジニアリング チームとセキュリティ チームは、各脆弱性の対処に必要な手順を迅速に実施しました。
- Azure Digital Twins : 2022 年 10 月 8 日、ホストされている Digital Twins Explorer の SSRF 脆弱性が報告されました。2022 年 10 月 17 日に修正をリリースしました。Azure Digital Twins には、IDMS と wireserver アクセスによって他の Azure 内部 サービスへのアクセスを防ぐためのメカニズムがあります。
- Azure Functions : 2022 年 11 月 12 日、Azure Functions Service で SSRF の脆弱性が報告され、認証していないユーザーが任意の URL を要求し、攻撃者がローカル ポート情報を列挙する可能性がありました。2022 年 12 月 9 日に修正をリリースしました。
- API Management : 2022 年 11 月 12 日、報告された Azure API Management Service の SSRF 脆弱性により、認証したユーザーがサーバーを悪用するループバック URL を要求できる可能性がありました。2022 年 11 月 16 日、API Management エンジニアリング チームは、VM 上のローカル ポート/リソースへのアクセスをブロックするための修正をリリースしました。
- Azure Machine Learning (ML) : 2022 年 12 月 2 日、報告された Azure Machine Learning の SSRF 脆弱性は、機密データやトークンを漏洩せず、機密性の高い内部エンドポイントへのアクセスはできないため、リスクは低いと評価しました。2022 年 12 月 20 日に修正をリリースしました。
謝辞
Orca Security 社によって報告された調査結果を調査する機会を得たことで、さらにサービスを強化できたことに感謝し、Microsoft バグ報奨金プログラム の条件に基づき安全なセキュリティ調査を実践してくれたことに感謝します。すべての研究者は 協調的な脆弱性の公開(CVD) の下でベンダーと協力し、セキュリティ調査にて顧客のデータに影響を与えないように、侵入テストの契約規則を遵守することを推奨します。
参照
質問がある場合には、aka.ms/azsupt の Azure ポータルからサポート ケースを開きます。
Orca 社のブログ: https://orca.security/resources/blog/ssrf-vulnerabilities-in-four-azure-services