Flere Azure indbyggede roller er fejlkonfigureret og giver utilsigtede generelle læserettigheder (/read) ud over deres beskrivelse.
En sårbarhed i Azure API tillader lækage af VPN Gateway pre-shared key ved et GET-kald.
Kombinationen af overprivilegerede roller og VPN-nøglesårbarhed muliggør adgang til interne cloud- og on-premises netværk.
Minst 10 indbyggede Azure-roller indeholder fejlagtige */read-tilladelser og udgør en sikkerhedsrisiko.
Microsoft rettede dokumentationen for rollerne, men fjernede ikke de overprivilegerede tilladelser.
VPN-nøglesårbarheden blev rettet ved at indføre kravet om Microsoft.Network/connections/sharedKey/action-tilladelse.
Anbefalinger: Auditer brugen af problematiske roller, anvend begrænsede scopes og opret brugerdefinerede roller med minimale rettigheder.
Get notified when new stories are published for "🇩🇰 Hacker News Dansk"