SecurityOpenLab

Scoperte e chiuse falle in Azure, il cloud non è invincibile

I ricercatori di Check Point Research hanno individuato due falle in Azure. La segnalazione a Microsoft è stata vitale per la pubblicazione delle patch.

La sicurezza del cloud torna di attualità dopo che i ricercatori di Check Point hanno scoperto e segnalato a Microsoft due falle di Azure. Check Point ha tenuto nascosta al pubblico la scoperta e ha dato modo a Microsoft di pubblicare le patch. Sono già state diffuse entro fine 2019 per entrambi i problemi, non c'è quindi motivo di allarmarsi. Questa vicenda è interessante per capire come sia errata la comune opinione secondo cui il cloud è sicuro.

Le due falle riguardano nel dettaglio Azure Stack e Azure App Service. Il problema in Azure Stack avrebbe permesso a un hacker di ottenere informazioni sensibili sulle macchine in esecuzione su Azure. Sarebbe stato possibile persino fare delle catture video. La falla in Azure App poteva permettere a un cybercriminale di prendere il controllo dell'intero server Azure, di conseguenza del codice aziendale di un'impresa.
azure2Andando per ordine, Azure Stack è una soluzione software progettata per aiutare le aziende a fornire i servizi Azure dal proprio data center. Per violare la sicurezza ed eseguire un exploit, sarebbe stato necessario ottenere l'accesso al portale Azure Stack. Quindi si sarebbero dovute inviare richieste HTTP non autenticate che forniscono screenshot e informazioni sulle macchine dell'infrastruttura.

Azure App Service è invece una PaaS gestita che integra i siti web Microsoft Azure, i servizi mobile e altri. Fra le funzioni di Azure App Service ci sono il provisioning, la distribuzione e la creazione di app, l'automazione dei processi aziendali. Approfittando della falla, un criminale informatico avrebbe potuto compromettere applicazioni, dati e account creando un utente in Azure Cloud ed eseguendo funzioni dannose. Avrebbe potuto persino assumere il controllo dell'intero server.

Le vulnerabilità di cui sopra sono state risolte e non sussistono più. Ma il fatto che siano state rilevate dimostra che il cloud non è un posto magico. È un'infrastruttura, un codice che è passibile di vulnerabilità.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 04/02/2020

Tag: azure cyber security

Articolo precedente
CISO: come giustificare le spese per la sicurezza informatica

Qualche trucco che i CISO possono usare per convincere le aziende a finanziare le spese la sicurezza informatica.

Articolo successivo
Avast, gli antivirus, la privacy. Un matrimonio mal riuscito

Lo scandalo Avast fa emergere quanto sia sottile il confine fra le esigenze di sicurezza e la tutela della privacy.

Ti potrebbero interessare

Adozione del cloud pubblico frenata dalle paure per la sicurezza

Adozione del cloud pubblico frenata dalle paure per la sicurezza

Vulnerabilità Wi-Fi Kr00k, miliardi di dispositivi a rischio

Vulnerabilità Wi-Fi Kr00k, miliardi di dispositivi a rischio

Le minacce alla sicurezza mobile del 2020

Le minacce alla sicurezza mobile del 2020

Il nuovo approccio alla sicurezza è prevenire, non curare

Il nuovo approccio alla sicurezza è prevenire, non curare

Malware fileless: Microsoft dà una mano a... Linux

Malware fileless: Microsoft dà una mano a... Linux

Il 5G eredita vecchie vulnerabilità cellulari

Il 5G eredita vecchie vulnerabilità cellulari



Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

 Cookie | Privacy