Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Kritische Azure-Schwachstellen: Falsch konfigurierte Rollen & VPN-Schlüsselleck

2025-07-02
Kritische Azure-Schwachstellen: Falsch konfigurierte Rollen & VPN-Schlüsselleck

Sicherheitsforscher haben mehrere falsch konfigurierte integrierte Azure-Rollen entdeckt, die übermäßige Berechtigungen gewähren. Zusammen mit einer Schwachstelle in der Azure-API, die das Auslaufen von VPN-Schlüsseln ermöglicht, entsteht eine Angriffssequenz, die es einem Benutzer mit geringen Rechten ermöglicht, auf interne Cloud-Ressourcen und lokale Netzwerke zuzugreifen. Die Forschung beschreibt detailliert den Entdeckungsprozess, die Auswirkungen und die Strategien zur Risikominderung. Zehn integrierte Rollen wiesen übermäßige Berechtigungen auf, während die Schwachstelle des VPN-Schlüssellecks von Microsoft behoben wurde. Empfehlungen umfassen die Prüfung der problematischen Rollen, die Verwendung eingeschränkter Bereiche und die Erstellung benutzerdefinierter Rollen mit fein granularisierten Berechtigungen.

Mehr lesen
(www.token.security)
Technologie VPN-Schlüsselleck

Kritischer AWS-Tool-Fehler: Privilegieneskalations-Schwachstelle

2025-05-05
Kritischer AWS-Tool-Fehler: Privilegieneskalations-Schwachstelle

Das Sicherheitsunternehmen Token Security hat eine kritische Sicherheitslücke im AWS Account Assessment Tool entdeckt. Das Tool soll den Zugriff zwischen Konten prüfen, aber die Anweisungen zur Bereitstellung haben Benutzer unwissentlich dazu ermutigt, die zentrale Rolle in weniger sicheren Konten (wie der Entwicklungsumgebung) bereitzustellen. Dies führte zu gefährlichen Vertrauenspfaden von unsicheren zu hochsicheren Umgebungen (wie der Produktion), was zu einer Privilegieneskalation führte. Angreifer konnten so möglicherweise die gesamte AWS-Organisation übernehmen. AWS hat das Problem am 28. Januar 2025 behoben und die Dokumentation aktualisiert, um die Bereitstellung der zentralen Rolle in einem Konto mit der gleichen Sicherheit wie das Verwaltungskonto zu empfehlen. Betroffene Organisationen sollten ihre Bereitstellungen überprüfen und entsprechend beheben.

Mehr lesen
(www.token.security)
Technologie Kontenübergreifender Zugriff

Verfolgung des Eigentums von IaC-generierten nicht-menschlichen Identitäten

2025-04-09
Verfolgung des Eigentums von IaC-generierten nicht-menschlichen Identitäten

Infrastructure-as-Code (IaC)-Tools ermöglichen die schnelle Erstellung zahlreicher nicht-menschlicher Identitäten (NHIs) in Cloud-Umgebungen. Die Verfolgung der Eigentümer dieser IaC-generierten NHIs stellt jedoch eine erhebliche Herausforderung dar. Dieser Blogbeitrag untersucht einen tagbasierten Ansatz, bei dem Tags zum Terraform-Code hinzugefügt werden, um die an der Ressourcenerstellung beteiligten Dateien zu verfolgen und so die Eigentümer von NHIs zu identifizieren. Obwohl dieser Ansatz mit praktischen Hürden wie Tag-Vererbung und plattformübergreifender Kompatibilität konfrontiert ist, bietet er eine potenzielle Lösung für Probleme mit dem Eigentum an IaC-generierten NHIs und unterstützt DevOps-Teams dabei, ihre IaC-Identitäten besser zu verfolgen und zu verwalten.

Mehr lesen
(www.token.security)
Entwicklung