Lmst
Login

#FirewallBypass

🛡 H3lium@infosec.exchange/:~# :blinking_cursor:​H3liumb0y@infosec.exchange
2024-06-04

Azure Service Tags Vulnerability Controversy

Date: June 2024

CVE: N/A

Vulnerability Type: Security Misconfiguration

CWE: [[CWE-20]], [[CWE-287]]

Sources: Bleeping Computer

Synopsis

A security vulnerability in Azure Service Tags has been highlighted by Tenable, who identified a risk of data exposure due to how Service Tags handle firewall rules and access control. Microsoft, however, disputes this assessment, clarifying the intended use of Service Tags.

Issue Summary

Tenable's security researchers claim that they discovered a high-severity vulnerability in Azure Service Tags that allows attackers to impersonate trusted Azure services and bypass firewall rules based on Azure Service Tags, and can access private data that way by crafting SSRF-like web requests. These tags, designed for routing and not security boundaries -as per Microsoft-, can be manipulated to impersonate trusted services and access sensitive data.

Technical Key findings

The vulnerability exploits the "availability test" feature within Azure's Application Insights Availability service. By manipulating custom headers and HTTP requests, attackers can bypass network controls that rely on Service Tags, thus accessing internal services and APIs hosted on common ports (80/443).

Vulnerable Products

  • Azure DevOps
  • Azure Machine Learning
  • Azure Logic Apps
  • Azure Container Registry
  • Azure Load Testing
  • Azure API Management
  • Azure Data Factory
  • Azure Action Group
  • Azure AI Video Indexer
  • Azure Chaos Studio

Impact Assessment

Exploitation of this vulnerability could lead to unauthorized access to sensitive data and internal APIs, potentially exposing internal services to malicious actors. This represents a significant risk, particularly for services relying solely on Service Tags for security.

Patches or Workaround

Microsoft has not issued a patch, asserting that Service Tags are not designed as a security boundary. They recommend adding authentication and authorization layers to enhance security. Azure customers should follow Microsoft's updated guidelines and review their network configurations to ensure robust security measures are in place.

Tags

#Azure #ServiceTags #Vulnerability #SSRF #DataExposure #CloudSecurity #Microsoft #FirewallBypass

Pure Acetonepureacetone@qoto.org
2024-02-09

A491598198/VpnHood: Undetectable Fast Portable VPN
github.com/A491598198/VpnHood

"Alternatieve weg voor omzeiling en privacy!

Ondetecteerbare VPN voor gewone gebruikers en experts. VpnHood is een oplossing om geavanceerde firewalls te omzeilen en diepe pakketinspectie te vermijden. VpnHood is volledig vanaf nul gemaakt in C#.

Krijg VpnHood!
Het is beschikbaar voor Windows en Android. De iOS-client moet nog gereed worden gemaakt!

Gebruik alternatieve downloadlinks.

Kenmerken van de client
Eenvoudige installatie: gewoon installeren en op 'verbinden' drukken
Ondetecteerbaar op privé-IP's
Snel
Tunneling opgesplitst per apps & landen
Windows (x64) 10, 11
Android, Android TV
IPv6*
Kenmerken van de server
Geen netwerkconfiguratie of kennis vereist
Geen beheerdersprivileges vereist
Hot Restart (Gebruikerssessies worden niet gesloten bij herstart)
Ingebouwd gebruikersbeheer
Ingebouwde NAT met nul configuratie
NetScan Protector
Windows (x64) 10, 11, of Windows Server
Linux
Kenmerken voor ontwikkelaars
Open source (LGPL-licentie)
Volledig in .NET
Hoog aanpasbaar
Eenvoudig in te bedden in je .NET-app
Uitbreidbaar gebruikersbeheer via REST API
Componentgebaseerd via NuGet-pakketten
Open de oplossing met Visual Studio en bouw
IPv6-ondersteuning
VpnHood ondersteunt IPv6, maar op Windows moet je al op het IPv6-netwerk zitten, zodat al je netwerkverkeer door VpnHood wordt getunneld. Op Windows heb je geen toegang tot IPv6-sites als je netwerk niet al geconfigureerd is voor het gebruik van IPv6. In Android daarentegen krijg je een IPv6-adres en toegang tot alle IPv6-sites, ongeacht de configuratie van je netwerk.

FAQ & Documenten
Raadpleeg onze Wiki voor de VpnHood-documenten.

Hoe werkt VpnHood?
Kan een netwerkaanbieder VpnHood blokkeren?
Wijzigingen
Meer...
Ondersteuning
Je bent altijd welkom!

Voel je vrij om een nieuwe discussie te starten op GitHub-discussies.
Meld bugs of vraag functies in GitHub-problemen.
Ondersteunde servers

Windows Linux
Speciale dank aan
SharpPcap: Volledig beheerde, cross-platform .NET-bibliotheek voor het vastleggen van pakketten van live- en op bestand gebaseerde apparaten.
WinDivert: Een pakket voor het vastleggen en omleiden van pakketten in de gebruikersmodus voor Windows.
EmbedIO: Een kleine, cross-platform, op module gebaseerde webserver voor .NET.
Advanced Installer: Installer-tools voor Windows."

#VpnHood #Privacy #VPN #NetworkSecurity #Circumvention #FirewallBypass #DeepPacketInspection #Windows #Android #iOS #IPv6Support #OpenSource #DotNET #GitHub #ServerSecurity #NetworkManagement #NatTraversal #NetScanProtector #DeveloperTools #GitHubDiscussions #BugReport #FeatureRequest #WindowsServer #Linux #SharpPcap #WinDivert #EmbedIO #AdvancedInstaller

Client Info

Server: https://mastodon.social
Version: 2025.04
Repository: https://github.com/cyevgeniy/lmst