Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Vulnérabilités critiques dans Azure : rôles mal configurés et fuite de clé VPN

2025-07-02
Vulnérabilités critiques dans Azure : rôles mal configurés et fuite de clé VPN

Des chercheurs en sécurité ont découvert plusieurs rôles intégrés Azure mal configurés qui accordent des permissions excessives. Combiné à une vulnérabilité dans l’API Azure permettant des fuites de clés VPN, cela crée une chaîne d’attaque permettant à un utilisateur peu privilégié d’accéder aux actifs cloud internes et aux réseaux locaux. La recherche détaille le processus de découverte, les implications et les stratégies d’atténuation. Dix rôles intégrés présentaient des privilèges excessifs, tandis que la vulnérabilité de fuite de clé VPN a été corrigée par Microsoft. Les recommandations incluent l’audit des rôles problématiques, l’utilisation d’étendues limitées et la création de rôles personnalisés avec des permissions granulaires.

Lire plus
(www.token.security)
Technologie Fuite de clé VPN

Faute critique dans l'outil AWS : vulnérabilité d'escalade des privilèges

2025-05-05
Faute critique dans l'outil AWS : vulnérabilité d'escalade des privilèges

La société de sécurité Token Security a découvert une vulnérabilité critique dans l'outil Account Assessment d'AWS. Conçu pour auditer l'accès inter-comptes, ses instructions de déploiement ont involontairement encouragé les utilisateurs à déployer le rôle central dans des comptes moins sécurisés (comme le développement), créant des chemins de confiance dangereux des environnements non sécurisés vers des environnements hautement sensibles (comme la production). Cela a permis une escalade des privilèges, permettant potentiellement aux attaquants de contrôler l'ensemble de l'organisation AWS. AWS a corrigé le problème le 28 janvier 2025, en mettant à jour la documentation pour recommander le déploiement du rôle central dans un compte aussi sécurisé que le compte de gestion. Les organisations affectées doivent vérifier leurs déploiements et y remédier en conséquence.

Lire plus
(www.token.security)
Technologie Sécurité AWS Escalade des privilèges Accès inter-comptes

Suivi de la propriété des identités non humaines générées par IaC

2025-04-09
Suivi de la propriété des identités non humaines générées par IaC

Les outils d'Infrastructure as Code (IaC) permettent la création rapide de nombreuses identités non humaines (NHI) dans les environnements cloud. Cependant, le suivi des propriétaires de ces NHI générées par IaC représente un défi important. Cet article de blog explore une approche basée sur les balises, en ajoutant des balises au code Terraform pour suivre les fichiers impliqués dans la création de ressources et ainsi identifier les propriétaires de NHI. Bien que cette approche rencontre des obstacles pratiques, tels que l'héritage des balises et la compatibilité inter-plateformes, elle offre une solution potentielle aux problèmes de propriété des NHI générées par IaC et aide les équipes DevOps à mieux suivre et gérer leurs identités IaC.

Lire plus
(www.token.security)
Développement