「Azure」のファイアウォールにルール回避のおそれ - MSは仕様と説明

「Microsoft Azure」のファイアウォールにおいて、「Azure Service Tag」に基づくルールがバイパスされる問題が指摘されている。指摘に対してマイクロソフトは設計どおりとして脆弱性と認めておらず、正しく機能を理解して利用するようガイダンスを公開した。

「Azure」では、特定のサービスや一連のIPアドレス範囲を管理できるよう「Azure Service Tag」の機能が用意されているが、Tenableは、信頼できるサービスからのリクエストを偽造することで、「Azure Service Tag」に基づくファイアウォールルールをバイパスできるとし、脆弱性として報告した。

Tenableでは1月にマイクロソフトに報告。その後調整のもと今回の公開に至った。同脆弱性は、Azureで提供されている11サービスに影響があるとし、データの整合性と機密性への影響から重要度を「高（High）」と評価している。

報告を受けたマイクロソフトは、Tenableへ報奨金を支払う一方、調査の結果「Azure Service Tag」は設計どおりに機能していると説明。機能の見直しなどは行わず、使用方法や目的が誤解されやすいとして、ベストプラクティスなどを説明するガイダンスを公開した。

同ガイダンスで同社は、「Azure Service Tag」をセキュリティの境界として取り扱うべきではないと説明。検証による制御とあわせてルーティング機能としてのみ使用するべきであることを強調した。

（Security NEXT - 2024/06/04 ） ツイート

PR

関連記事

「Adobe Acrobat/Reader」に6件の脆弱性 - アップデートで修正
サイゼリヤ、ランサムウェア攻撃で個人情報流出 - 6万件超が被害か
米当局、「Windows」に判明したゼロデイ脆弱性に注意喚起
「Ivanti CSA」に深刻な脆弱性 - 管理者権限を奪われるおそれ
MS、2024年最後の月例パッチを公開 - ゼロデイ脆弱性も修正
「Dell PowerFlex」など複数製品に深刻な脆弱性 - アップデートを公開
「Chrome」にセキュリティアップデート - 複数の脆弱性を解消
ブース訪問者に対するメールで誤送信 - 静岡日産
QNAP製NAS向け複数アプリに脆弱性 - アップデートで修正
伊藤園の米グループ会社でランサム被害 - すでに復旧、情報流出を調査