Orca Securityは2023年1月17日(現地時間)、「How Orca Found SSRF Vulnerabilities in 4 Azure Services」において、Microsoftのクラウドサービス「Microsoft Azure」に重大な脆弱性があると伝えた。

  • How Orca Found SSRF Vulnerabilities in 4 Azure Services

    How Orca Found SSRF Vulnerabilities in 4 Azure Services

Orca Securityの調査により、 Microsoft Azureで提供されているAzure API Management、Azure Functions、Azure Machine Learning、Azure Digital Twinsの4つのサービスに、サーバーサイドリクエストフォージェリの脆弱性が存在することがわかった。このセキュリティ上の欠陥の主な概要は次のとおり。

  • Azure FunctionsおよびAzure Digital Twinsの2つのサービスでは、認証を必要としない脆弱性とされ、Microsoft Azureアカウントを未所持でもサーバ名でリクエストを送信することが可能
  • 脆弱性が原因でローカルポートがスキャンされ、サービス、エンドポイント、ファイルが攻撃者に発見されてしまう
  • ホストのIMDS(Cloud Instance Metadata Service)にアクセスされた場合、ホスト名、セキュリティグループ、MACアドレス、ユーザデータなどのインスタンスの詳細情報が盗まれる
  • 問題はMicrosoftに報告済みで、Microsoftにより迅速に緩和策が行われている

Orca Securityは、人気のあるクラウドサービスに機密性の高いエンドポイントに到達できる脆弱性が発見された場合、壊滅的な被害につながるリスクがあると警告。サイバー攻撃からMicrosoft Azureサーバを守るため、すべての入力を適切に検証することや必要なインバウンド・トラフィックとアウトバウンド・トラフィックのみを許可するようにサーバを設定することが重要だと述べられている。

適切なクラウドセキュリティ衛生の実施、最小特権の原則の遵守、脆弱性への迅速なパッチ適用、設定ミスの回避などを行うことで、被害を最小限に抑えることができると伝えている。

Microsoft Azureは人気が高くシェアを伸ばしているクラウドプラットフォームの一つ。AzureユーザーはOrca Securityが紹介しているような適切な緩和策を実施し、サイバー攻撃の被害者とならないよう心がけることが望まれている。