Azure 내장 역할 중 10개가 불필요한 */read 권한으로 과도한 권한을 부여함.
Managed Applications Reader 등 서비스 특정 역할이 모든 리소스 읽기 권한을 포함하여 설명과 다르게 작동함.
*/read 권한만으로 VPN 게이트웨이의 사전 공유 키(PSK)를 GET 요청을 통해 탈취 가능한 취약점이 발견됨.
공격자는 약한 계정으로 PSK를 획득 후 VPN S2S 연결을 통해 내부 네트워크에 접근할 수 있음.
Microsoft는 과도권한 역할 문제를 문서 업데이트로만 해결하고 취약 역할 개선은 하지 않음.
PSK 탈취 취약점은 수정되어 Microsoft.Network/connections/sharedKey/action 권한이 필요하도록 변경됨.
권한 사용 시 최소 권한 원칙을 준수하고 사용자 지정 역할 및 좁은 범위 할당을 권장함.
Get notified when new stories are published for "🇰🇷 Hacker News 한국어"