Microsoft AzureにSSRFの脆弱性が見つかる、対策を

Orca Securityは2023年1月17日(現地時間)、「How Orca Found SSRF Vulnerabilities in 4 Azure Services」において、Microsoftのクラウドサービス「Microsoft Azure」に重大な脆弱性があると伝えた。

Orca Securityの調査により、 Microsoft Azureで提供されているAzure API Management、Azure Functions、Azure Machine Learning、Azure Digital Twinsの4つのサービスに、サーバーサイドリクエストフォージェリの脆弱性が存在することがわかった。このセキュリティ上の欠陥の主な概要は次のとおり。

Azure FunctionsおよびAzure Digital Twinsの2つのサービスでは、認証を必要としない脆弱性とされ、Microsoft Azureアカウントを未所持でもサーバ名でリクエストを送信することが可能
脆弱性が原因でローカルポートがスキャンされ、サービス、エンドポイント、ファイルが攻撃者に発見されてしまう
ホストのIMDS（Cloud Instance Metadata Service）にアクセスされた場合、ホスト名、セキュリティグループ、MACアドレス、ユーザデータなどのインスタンスの詳細情報が盗まれる
問題はMicrosoftに報告済みで、Microsoftにより迅速に緩和策が行われている

Orca Securityは、人気のあるクラウドサービスに機密性の高いエンドポイントに到達できる脆弱性が発見された場合、壊滅的な被害につながるリスクがあると警告。サイバー攻撃からMicrosoft Azureサーバを守るため、すべての入力を適切に検証することや必要なインバウンド・トラフィックとアウトバウンド・トラフィックのみを許可するようにサーバを設定することが重要だと述べられている。

適切なクラウドセキュリティ衛生の実施、最小特権の原則の遵守、脆弱性への迅速なパッチ適用、設定ミスの回避などを行うことで、被害を最小限に抑えることができると伝えている。