Los investigadores de seguridad de Binary Security han descubierto una vulnerabilidad crítica en el servicio Azure API Management (APIM) de Microsoft. Esta vulnerabilidad podría permitir que un atacante con privilegios de visualización básicos obtenga un control administrativo completo del servicio.
Las vulnerabilidades más graves implican la explotación de versiones API heredadas para obtener tokens de acceso administrativo.
Un atacante con privilegios de rol de Visor podría obtener un token de SSO que otorga privilegios administrativos completos a la API de administración de APIM, evitando de manera efectiva todos los controles de acceso previstos.
Los investigadores descubrieron varias vulnerabilidades que podrían exponer información confidencial, como claves de suscripción, credenciales de OAuth y claves de integración.
Estrategias para proteger su sitio web y API de ataques de malware -> Webinar gratuito
Los atacantes pueden aprovechar versiones anteriores de la API de Azure Resource Manager (ARM) para acceder a estos recursos supuestamente restringidos.
El hallazgo más preocupante se refiere a la capacidad de generar tokens SSO administrados a través de puntos finales API obsoletos.
Vídeo de prueba de concepto
Este token puede autenticarse en la API de administración con privilegios completos, lo que permite a los atacantes implementar nuevas API, modificar las API existentes y acceder a toda la información confidencial.
Esta vulnerabilidad se informó por primera vez a Microsoft en febrero de 2023. Aunque Microsoft ha solucionado algunos problemas, muchas de las vulnerabilidades de las API heredadas aún se pueden explotar.
Aunque la compañía planea deshabilitar las API heredadas para junio de 2024, las nuevas implementaciones de APIM todavía tienen estas API vulnerables habilitadas de forma predeterminada.
Recomendaciones de seguridad
Binary Security recomienda varias estrategias de mitigación.
Restrinja el acceso a nivel de red a las interfaces de administración Implemente VNET, hosts de salto y direcciones IP CI/CD dedicadas Deshabilite inmediatamente las API heredadas para servicios APIM Configure los ajustes de la API de administración para evitar el uso de versiones anteriores de API
Estas vulnerabilidades plantean riesgos importantes para las organizaciones que utilizan Azure API Management porque podrían permitir a los usuarios sin privilegios:
Implementar o modificar API Acceder a datos de configuración confidenciales Leer claves de suscripción y credenciales Control completo de los servicios APIM
La respuesta de Microsoft a estos hallazgos ha sido mixta: algunas correcciones implementadas y otras pendientes.
Los investigadores de seguridad expresaron su decepción con la respuesta de Microsoft a la vulnerabilidad, señalando que los cambios se realizaron sin una comunicación adecuada y que no se emitió ninguna recompensa a pesar de la gravedad del descubrimiento.
Se recomienda encarecidamente a las organizaciones que utilizan Azure API Management que revisen sus configuraciones de seguridad e implementen las mitigaciones recomendadas para evitar la posible explotación de estas vulnerabilidades.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!