編譯／鄭智懷 素以發現各組織無意間洩漏資料的安全研究員Anurag Sen在稍早指出，美國五角大廈託管在Mic …

編譯／鄭智懷

素以發現各組織無意間洩漏資料的安全研究員Anurag Sen在稍早指出，美國五角大廈託管在Microsoft Azure的伺服器可能肇因於人為錯誤，並未設置密碼保護，使外界只需知道IP位址，即可任意取得其中各式敏感電子郵件資料。

網路媒體《TechCrunch》報導，本次五角大廈意外洩露資料的伺服器，其他民間單位伺服器之間設置物理隔離，以供儲存約3TB的內部軍事電子郵件。據悉，其中包含許多與美國特種作戰司令部（USSOCOM）有關文件，以及部分人事資料，例如一份攸關安全許可申請的SF-86紙本表格。

不過，該媒體表示，目前接觸到的資料機密程度極低，顯示特種作戰司令部為求安全起見，所有攸關機密的設備都採取實體隔離，禁止與民間網路連接的政策之成效。

五角大廈在接獲通報後，隨即在當地時間20日下午啟動因應措施，封鎖伺服器，使外人無法再以同樣漏洞存取其中資料。

美國特種作戰司令部發言人Ken McGraw在稍早表示，洩密事件的調查行動正進行之中。「我們（美國特種作戰司令部）現在可以確保沒有任何人可以入侵資訊系統。」

不過，除了安全研究員Anurag Sen之外，目前尚不清楚是否有其他第三方在過去兩周從本次洩漏資料的伺服器也取得其中檔案。而面對媒體詢問五角大廈是否擁有足夠的能力檢測任何惡意登入，或是有資料外洩的證據，後者拒絕作出任何回應。

資料來源：TechCrunch

這篇文章 五角大廈伺服器未設密碼 敏感郵件意外曝光 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 以色列資安公司Orca Security在本周稍早發表最新研究報告，指出微軟的公用雲端服務（Pu …

編譯／鄭智懷

以色列資安公司Orca Security在本周稍早發表最新研究報告，指出微軟的公用雲端服務（Public Cloud Service）平台Microsoft Azure的Azure API Management、Azure Functions、Azure Machine Learning 和 Azure Digital Twins服務存有漏洞，十分容易受到伺服器端請求偽造（SSRF）攻擊。其中，Azure Functions 和 Azure Digital Twins甚至無需任何身分驗證，駭客就可以利用漏洞入侵並控制伺服器。

報告中提到，伺服器端請求偽造攻擊不僅可以使攻擊者能夠入侵受害者設備的敏感端點，例如中繼資料服務（IMDS）身分識別端點，甚至可以藉此轉向其他設備，導致系統進一步破懷，以竊取其中敏感資料。

研究員Lidor Ben Shitrit指出，Azure API Management、Azure Functions和Azure Digital Twins的漏洞嚴重程度被評為重要；Azure Machine Learning則被評為低。上述漏洞都可以被駭客利用，允許其掃描設備端點，尋找伺服器漏洞或敏感資料，提供一切有價值的訊息，接著入侵設備端點並控制伺服器，或是用來發動進一步的攻擊。

Lidor Ben Shitrit建議，為了減少損害，各組織應確實驗證所有輸入端，確保伺服器配置僅允許必要的輸入和輸出流量，避免錯誤配置，並遵守最小特權原則（PoLP ）。

Lidor Ben Shitrit補充道，「研究發現中最值得注意的部分是我們僅用最小的努力就能找到的伺服器端請求偽造漏洞的數量，顯示其有多普遍以及在雲端環境中造成的風險。」

目前，在2022年10月至12月之間發現的四個漏洞都已經在後續的更新修復。

資料來源：The Hacker News

這篇文章 微軟雲端服務平台漏洞 不用身分驗證即可登入 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。