「Azure」のファイアウォールにルール回避のおそれ - MSは仕様と説明
「Microsoft Azure」のファイアウォールにおいて、「Azure Service Tag」に基づくルールがバイパスされる問題が指摘されている。指摘に対してマイクロソフトは設計どおりとして脆弱性と認めておらず、正しく機能を理解して利用するようガイダンスを公開した。
「Azure」では、特定のサービスや一連のIPアドレス範囲を管理できるよう「Azure Service Tag」の機能が用意されているが、Tenableは、信頼できるサービスからのリクエストを偽造することで、「Azure Service Tag」に基づくファイアウォールルールをバイパスできるとし、脆弱性として報告した。
Tenableでは1月にマイクロソフトに報告。その後調整のもと今回の公開に至った。同脆弱性は、Azureで提供されている11サービスに影響があるとし、データの整合性と機密性への影響から重要度を「高(High)」と評価している。
報告を受けたマイクロソフトは、Tenableへ報奨金を支払う一方、調査の結果「Azure Service Tag」は設計どおりに機能していると説明。機能の見直しなどは行わず、使用方法や目的が誤解されやすいとして、ベストプラクティスなどを説明するガイダンスを公開した。
同ガイダンスで同社は、「Azure Service Tag」をセキュリティの境界として取り扱うべきではないと説明。検証による制御とあわせてルーティング機能としてのみ使用するべきであることを強調した。
(Security NEXT - 2024/06/04 )
ツイート
関連リンク
PR
関連記事
「Apache HTTPD」に複数脆弱性 - 「クリティカル」との評価も
MS、月例パッチを公開 - 200件以上の脆弱性に対応
「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に対応を
「Veeam Backup & Replication」のバックアップサーバにRCE脆弱性
「FortiSandbox」のウェブUIに深刻なRCE脆弱性- アップデートを
賛助会員向けの情報提供メールで誤送信 - 宮崎県産業振興機構
「Chrome」にセキュ更新、脆弱性74件を修正 - 一部で悪用も
転職サイトのスマホアプリにPWリスト攻撃 - キャリアデザインセンター
職員が個人情報1件を目的外利用、懲戒処分 - 大津町
ふるさと納税者に関する個人情報の一部がSNS投稿 - 洲本市
