微软Azure的基于角色的访问控制系统(RBAC)近日被曝存在严重安全漏洞,可能导致企业网络遭遇未授权访问。
安全研究人员指出,一系列权限过大的内置角色与API实现缺陷结合,构成了攻击者可用来入侵云基础设施与本地网络的高危攻击路径。
这些漏洞的核心问题出在Azure RBAC权限模型的设计缺陷。多个看似“服务范围受限”的内置角色,实际授予了远超其描述的权限范围,引发权限漂移(Privilege Escalation)风险。
研究发现,至少10个Azure内置角色包含了“*/read”权限,意味着相关身份可访问多达9,618项Azure操作权限,而这些角色原本只是用于执行受限的管理任务。
例如,“Managed Applications Reader”(托管应用读取者)、“Log Analytics Reader”(日志分析读取者)、“Monitoring Reader”(监控读取者)等角色,看似仅具备特定服务的读取权限,实际却拥有对整个Azure订阅中所有资源的广泛读取权限。
研究人员指出,这些超权限角色的安全风险远不止信息泄露:
除了RBAC权限问题,研究人员还发现Azure API本身的实现缺陷也构成了严重威胁:
攻击者可通过一个特定接口,仅凭基础读取权限即可提取VPN预共享密钥(Pre-Shared Key)。
这一漏洞源自Azure对不同HTTP方法权限控制不一致——虽然系统通常将敏感操作限制为POST请求,但VPN密钥提取操作却被错误实现为GET请求,导致被绕过。
攻击链利用方式
最危险之处在于:这些漏洞可组合形成完整攻击链,威胁混合云环境。
攻击者只需获取一个看似权限受限的Azure身份,即可利用RBAC超权限进行信息侦察,并进一步窃取VPN密钥,实现对企业私有网络的渗透接入。
攻击链大致流程如下:
攻击者获取绑定有高危RBAC角色的身份凭据;
利用“*/read”权限,枚举VPN网关配置,并调用存在漏洞的API接口提取预共享密钥;
借助该密钥,攻击者可构造伪造的站点到站点VPN连接,直接加入企业私网,继而访问与该网关连接的云端资源与本地系统。
微软已确认VPN接口漏洞,并将其评级为“重要”,向研究人员发放了7,500美元漏洞赏金;
但对于RBAC权限过大的问题,微软仅将其标记为“低危”,选择更新文档说明而非修复权限设计缺陷。
这引发了业界对云平台最小权限原则落实不力的广泛关注。对于使用Azure混合云架构的组织而言,应及时审计RBAC角色权限,关注API接口权限边界,防止低权限身份成为攻击跳板。
