微軟
資安業者發現,微軟Azure Health平臺上的聊天機器人服務(Bot Service)的伺服器請求偽造(Server-side Request Forgery,SSRF)漏洞可能造成醫院用戶的敏感資料曝光。微軟已經修補了本項漏洞。
Azure Health Bot Service為Azure Health上的開發平臺,讓醫療院所開發人員開發AI聊天機器人或助理,讓醫護人員執行工作、管理行政作業,或是和病患互動,藉此自動化流程。視設計和配置而定,這些聊天機器人一般能存取到大量敏感的病患資訊。
資安廠商Tenable是在研究Azure Health Bot Service時,發現名為Data Connections可能的安全問題。這些資料連線允許機器人和外部資料服務互動以取得資訊,資料源可能是病患資訊的入口網站,或是儲存一般醫療資訊的參考資料庫。資料連線功能讓Bot Service後端可對第三方API發出呼叫。
Tenable研究人員檢視是否可能由外部和Bot Service內部端點互動時,發現一些常見端點如Azure Internal Metadata Service(IMDS)雖然已被善加過濾無法從外存取,但是利用重定向回應(redirect response),如301/302狀態碼,則可繞過這些保護措施。研究人員設定外部主機,並將之配置能以Azure IMDS為目的地,發送301重定向呼叫。另一方面,研究人員又設法取得在management.azure.com的存取令牌,最後取得微軟內部儲存的客戶資源,進而取得Azure其他客戶租戶(tenant)所有的數萬個資源列表,也就是成功透過SSRF手法達成跨租戶資源存取。
研究人員於是停止探索,並於今年6月17日向微軟通報該漏洞。微軟告知他們7月2日修補了所有Azure區域上的這項漏洞。
研究人員事後發現,微軟方面所謂的修補,只是讓該服務拒絕資料連線端點發出的重定向狀態碼。但是研究團隊又發現另一個用於驗證FHIR(為一健康照護資源互通標準)端點資料連線的端點也存在SSRF攻擊的風險,只是本端點攻擊媒介無法影響呼叫標頭,無法直接存取Azure IMDS。雖然由此仍能存取其他服務內容,但微軟說這漏洞並非跨租戶存取漏洞。不過,微軟仍然於7月12日修補了第二項漏洞。
研究人員相信這二項漏洞皆未遭到任何人士濫用。
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20