Встроенные роли Azure имеют избыточные привилегии, предоставляя действие */read ко всем ресурсам.
По результатам анализа выявлено 10 встроенных ролей с нежелательным */read, включая Managed Applications Reader.
Найдена уязвимость API Azure VPN Gateway, позволяющая по GET-запросу получить pre-shared key.
Комбинация чрезмерных привилегений и уязвимого API позволяет злоумышленнику с ролью Только чтение подключаться к внутренним сетям через S2S VPN.
Microsoft зафиксировала и устранила утечку VPN-ключа, введя обязательное разрешение Microsoft.Network/connections/sharedKey/action.
Неисправленные избыточные роли всё ещё существуют; рекомендуется не использовать их, ограничивать область действия и создавать кастомные роли с минимальными правами.
Get notified when new stories are published for "🇷🇺 Hacker News Русский"