微軟Azure大漏洞 攻擊者可繞過防火牆
編譯/Cynthia
2024年1月,Tenable Research發現微軟(Microsoft)Azure存在一個嚴重漏洞,可讓攻擊者利用假冒信任服務請求,繞過防火牆規則入侵。此漏洞波及多項Azure服務,引發企業對雲端安全的關注。
受影響的Azure服務
此漏洞影響多種Azure服務,包括應用監控、機器學習等各領域,這表示企業使用任何一項Azure服務,都可能面臨被攻擊的風險。具體受影響的服務包括:
- AzureApplication Insights
- Azure DevOps
- Azure Machine Learning
- Azure Logic Apps
- Azure Container Registry
- Azure Load Testing
- Azure API Management
- Azure Data Factory
- Azure Action Group
- Azure AI Video Indexer
- AzureChaos Studio
嚴重性與影響
Tenable Research 將此漏洞歸類為「安全功能繞道問題」,並強調其對數據完整性和機密性的嚴重影響,建議將其嚴重性評為高。微軟安全性回應中心(MSRC)也確認此問題為「權限提升」,並將其評為「重要」等級。為了鼓勵漏洞的發現和報告,MSRC對揭發此漏洞給予獎勵。
微軟解決方案
微軟為漏洞提供集中式文件(Centralized Documentation),提供客戶使用服務標籤的指南。這僅為指導無法完全消除漏洞風險,建議用戶在網路控制之外加強身份驗證與授權,以進一步保護資產。受影響的用戶應立即加強身份驗證、持續監控並更新安全協議以降低風險。
資料來源:Cyber Security News
瀏覽 310 次