Per i clienti la sicurezza del cloud è spesso un mistero, ragione per cui si fidano ciecamente dei provider. La maggior parte delle vulnerabilità del cloud si concentra sulla sicurezza delle applicazioni del cliente (ad esempio le configurazioni errate) e non sull’infrastruttura del provider. Check Point Research ha voluto confutare l’ipotesi che le infrastrutture cloud siano sicure, e ha prodotto una ricerca per dimostrarlo. La ricerca, suddivisa in due parti (parte 1, parte 2) rivela vari vettori di attacco e vulnerabilità delle piattaforme Microsoft Azure Stack e Azure (Azure App Service).
Azure è il fornitore di servizi di cloud computing di Microsoft. Azure Stack è un portafoglio di prodotti che estende i servizi e le capacità di Azure a qualsiasi ambiente – dal datacenter alle sedi periferiche e agli uffici remoti. Il portafoglio consente di costruire, implementare ed eseguire applicazioni di hybrid ed edge computing in modo coerente, oltre i confini delle sedi, fornendo scelta e flessibilità per affrontare diversi carichi di lavoro e diverse esigenze organizzative.
La ricerca ha dimostrato:
- Come sono state ottenute schermate e informazioni sugli utenti e le macchine per le infrastrutture di Azure Stack
- L’esistenza di vulnerabilità critiche in Azure App Service, piattaforma che permette di costruire e ospitare applicazioni web, back end mobili e API in vari linguaggi di programmazione, senza gestire l’infrastruttura
Impatto
Queste vulnerabilità, se sfruttate da malintenzionati, possono compromettere l’infrastruttura dell’App Service di Microsoft. Tuttavia, sfruttarla specificamente su un piano Free/Shared (che Microsoft ha dichiarato pubblicamente di avere in programma) potrebbe anche compromettere le app, i dati e l’account di altri utenti, rompendo così il modello di sicurezza dell’App Service.
Le suddette vulnerabilità sono state divulgate e corrette da Microsoft ed etichettate come CVE-2019-1372 e CVE-2019-1234. Microsoft ha riconosciuto che sono rilevanti per la sicurezza di Azure Cloud and Azure Stack.
Quando operano nel cloud, le imprese spesso si comportano come se i loro servizi fossero ospitati nel loro seminterrato, dietro il loro fidato gateway. È facile dimenticare che mentre si è seduti in ufficio all’interno della propria azienda, il dispositivo – utilizzando la connessione internet aziendale – sta effettivamente comunicando con un servizio ospitato al di fuori dell’organizzazione. I costi potenziali per le aziende sono drammatici – gli schemi di phishing e le perdite di dati sono costate ai marchi globali sia in termini di valore in dollari che di reputazione.
