Azure의 심각한 취약성: 잘못 구성된 역할 및 VPN 키 유출
2025-07-02
보안 연구원들은 과도한 권한을 부여하는 잘못 구성된 Azure 기본 제공 역할을 여러 개 발견했습니다. Azure API의 VPN 키 유출 취약성과 결합되어 권한이 없는 사용자가 내부 클라우드 자산 및 온프레미스 네트워크에 액세스할 수 있는 공격 체인이 생성됩니다. 이 연구는 발견 프로세스, 영향 및 완화 전략에 대한 세부 정보를 제공합니다. 10개의 기본 제공 역할에서 과도한 권한이 있는 것으로 나타났으며, VPN 키 유출 취약성은 Microsoft에서 수정했습니다. 권장 사항으로는 문제가 있는 역할 감사, 제한된 범위 사용 및 세분화된 권한을 가진 사용자 지정 역할 생성 등이 있습니다.
기술
VPN 키 유출