Сериозна уязвимост в Microsoft Azure API Management (APIM) Developer Portal позволява на нападатели да регистрират акаунти в различни tenant инстанции, дори когато администраторите са изключили публичната регистрация чрез интерфейса на портала.

Microsoft е определила проблема като „по дизайн“, а към 1 декември 2025 г. поправка не е налична, оставяйки организациите изложени на потенциален неоторизиран достъп.

Природа на уязвимостта

Проблемът се крие във фундаментален дизайнерски дефект: изключването на регистрацията в Azure Portal UI само визуално скрива формата за signup, докато /signup API endpoint остава напълно активен и достъпен.

При конфигуриран Basic Authentication, бекенд API продължава да приема заявки за регистрация без проверка на tenant границите или потвърждение, че заявката идва от разрешен източник.

Как атакуващите експлоатират уязвимостта

Атаката се извършва чрез манипулация на Host header в заявките за регистрация. Стъпките са следните:

1. Атакуващът използва APIM инстанция с разрешена регистрация (собствена или компрометирана).

2. Интерцептира легитимна заявка за регистрация.

3. Променя Host header, насочвайки заявката към целева APIM инстанция.

4. Успешно създава акаунт в целевата организация, дори когато регистрацията е „изключена“ в UI.

Това води до няколко критични риска:

• Създаване на акаунти между tenants при всяка APIM инстанция с Basic Authentication.

• Пълно заобикаляне на административни контролни механизми.

• Възможна експозиция на чувствителна API документация и ключове за абонаменти.

Организациите, които са смятали, че са изключили публичната регистрация, могат да останат уязвими без да подозират.

Застрашени инстанции

Уязвими са APIM инстанции, които:

• имат конфигуриран Basic Authentication (независимо от UI настройки),

• имат разположен и достъпен Developer Portal,

• работят на Developer, Basic, Standard или Premium tier.

Уязвимостта е оценена с CVSS 6.5, класифицирана като средно-висока (CWE-284 – Improper Access Control).

Откриване и разкриване

Финландският изследовател Михалис Хаатайнен от Bountyy Oy открива уязвимостта на 30 септември 2025 г. и я докладва на Microsoft Security Response Center (MSRC).

След два детайлни доклада (септември и ноември), Microsoft затваря случаите, заявявайки, че поведението е „по дизайн“ и не представлява уязвимост. Изследователят след това съобщава проблема на CERT-FI и го разкрива публично на 26 ноември 2025 г.

Мерки за защита

Тъй като поправка все още не е налична, организациите трябва незабавно да предприемат действия:

1. Премахване на Basic Authentication:

   • Влезте в APIM инстанцията → Developer Portal → Identities → изтрийте identity provider „Username and password“.

   • Само изключването на регистрацията в UI не е достатъчно.

2. Преминаване към Azure Active Directory Authentication:

   • Гарантира правилни tenant граници и контрол на достъпа.

3. Одит на потребителски акаунти:

   • Проверка за неоторизирани регистрации след „изключване“ на signup.

4. Мониторинг на регистрационни активности и API заявки:

   • Постоянно наблюдение за подозрителни действия.

5. Инструменти за проверка:

   • Използване на публично достъпен Python скрипт и Nuclei шаблон, предоставени от изследователя, за идентифициране на уязвими инстанции.

Уязвимостта в Azure APIM Developer Portal показва, че визуалното изключване на функционалности не гарантира сигурност, особено при несъвършен дизайн на бекенд API. Организациите трябва да предприемат проактивни мерки, като премахнат Basic Authentication, преминат към Azure AD и засилят мониторинга, за да защитят своите инстанции и чувствителни данни.