Az Azure APIM sérülékenység lehetővé teszi a jogosultságok kiterjesztését
Biztonsági rést azonosítottak biztonsági szakemberek az Azure API Management-ben (APIM). Ez lehetővé teszi a támadók számára a jogosultságok kiterjesztését és az érzékeny információkhoz való hozzáférést. A probléma az Azure Resource Manager (ARM) API hibájából adódik, amely lehetővé teszi a kritikus erőforrásokhoz való jogosulatlan hozzáférést. Az Azure Resource Manager (ARM) API kezeli az Azure erőforrásokat, köztük az APIM példányokat. Amikor az olvasói jogosultságokkal rendelkező felhasználók hozzáférnek egy APIM-erőforráshoz, az ARM API jellemzően korlátoz bizonyos műveleteket – derül ki a BinarySecurity jelentéséből. Az ARM API régebbi verziói azonban lehetővé tették az olvasói hozzáféréssel rendelkező felhasználók számára az összes subscription key megtekintését, a személyazonosság-szolgáltató szolgáltatási megbízók ügyfélhitelesítési adatainak olvasását és a Direct Management API kulcsainak elérését.
A problémák megoldására a Microsoft bevezetett egy olyan funkciót, amely egy minimális ARM API-verziót kényszerít ki, ezáltal blokkolva a régebbi, sebezhető verziókat. A korlátozás 2020-nál újabb API-verzióra történő beállításával az olvasói hozzáféréssel rendelkező felhasználók nem tekinthetik meg az subsciprtion kulcsokat és más érzékeny információkat. Ezen intézkedések ellenére egy hibával megkerülhetők ezek a korlátozások, lehetővé téve a hozzáférést az admin felhasználói kulcsokhoz.
