Спор вокруг Azure Backup for AKS показал дыру без CVE

Microsoft и исследователь разошлись в оценке риска Azure Backup for AKS. Для защитников важен вывод: проверять модель доверия, даже если CVE нет.

2026-05-26 GIGATAP Team #security
#Azure#AKS#Cloud Security

Что известно#

Исследователь безопасности утверждает, что Microsoft тихо исправила уязвимость в Azure Backup for AKS после того, как отклонила его отчет, и не выпустила CVE. Microsoft с такой версией не согласна.

По данным BleepingComputer, спорный случай касался Azure Backup for AKS. Исследователь считает, что описанное им поведение имело значение для безопасности: сначала Microsoft отклонила находку, а позже поведение сервиса изменилось так, что он описывает это как скрытое исправление.

Microsoft заявила BleepingComputer, что поведение было ожидаемым и что «никаких изменений в продукт не вносилось». Поэтому CVE не выпускался.

В публичной картине остается неопределенность. Есть заявление исследователя об уязвимости и последующем исправлении. Есть отрицание со стороны вендора: Microsoft не считает это уязвимостью и отрицает изменение продукта. Нет CVE, который зафиксировал бы серьезность, затронутые условия и официальные рекомендации по устранению.

Для команд защиты важно именно это. Не каждый облачный риск приходит в виде аккуратного бюллетеня с CVSS, исправленной версией и таблицей мер. Иногда все выглядит как спор о том, что перед нами: баг, особенность работы, путь к ошибочной настройке или модель угроз, которую сервис не поддерживает.

Почему это важно#

Azure Backup for AKS находится в чувствительной части облачной инфраструктуры. Системам резервного копирования часто нужен широкий доступ на чтение, права между ресурсами и возможности восстановления. В Kubernetes-средах такие разрешения могут оказаться важнее самих рабочих нагрузок.

Слабое место в процессе резервного копирования не обязано выглядеть как классическая RCE, чтобы быть опасным. Если компонент бэкапа можно использовать для доступа к данным, выхода за границы сегментов или выполнения действий вне ожидаемой модели доверия, последствия могут быть реальными, даже если поведение описывают как задуманный дизайн.

Поэтому работа с облачными уязвимостями часто получается неаккуратной. Облачные платформы — это не только пакеты ПО. Это управляемые сервисы, системы идентификации, настройки по умолчанию, API, политики и развертывания, зависящие от конкретного tenant. Вендор может оценивать отчет по документированному поведению. Исследователь — по границе безопасности, на которую клиент разумно рассчитывал.

Обе логики могут привести к разным выводам.

Отсутствие CVE тоже имеет значение. CVE не идеальны, но дают защитникам общий объект для отслеживания. Без него командам приходится опираться на публикации, заявления вендора, внутренние проверки и документацию сервиса. Так растет риск, что реальную эксплуатационную проблему проигнорируют просто потому, что ее нет в сканерах уязвимостей и панелях патч-менеджмента.

Чего не стоит утверждать#

В исходных публичных материалах недостаточно данных, чтобы заявлять, что Microsoft выпустила исправление безопасности, скрыла уязвимость или неправильно обработала отчет. Microsoft прямо отрицает изменения в продукте и говорит, что поведение было ожидаемым.

Также из короткого описания нельзя независимо подтвердить оценку серьезности, о которой говорит исследователь. Слово “critical” отражает заявленную претензию и подачу статьи, а не рейтинг серьезности, подтвержденный CVE.

Это важное различие. Облачным security-командам не стоит считать каждый отклоненный баг-репорт доказательством халатности вендора. Но и каждое отклонение со стороны вендора не доказывает, что риска нет.

Полезный вывод уже: этот случай показывает разрыв между формальной обработкой уязвимостей и оценкой клиентского риска. Когда они не совпадают, защитникам нужны собственные доказательства.

Что проверить уже сейчас#

Официального пути действий через CVE здесь нет. Но это не значит, что командам, использующим Azure Backup for AKS, можно ничего не делать.

Начните с модели доверия. Проверьте, какие identities, роли и managed identities использует Azure Backup for AKS в вашей среде. Убедитесь, что права, связанные с резервным копированием, не шире необходимого. Пересмотрите доступ к snapshots, операциям восстановления, Kubernetes-ресурсам, storage accounts и связанным resource groups.

Посмотрите логи операций backup и restore. Ищите необычные восстановления, неожиданное использование identities, изменения разрешений и паттерны доступа, которые пересекают границы, считающиеся защищенными.

Изучите документацию Microsoft по Azure Backup for AKS и сравните ее с вашим развертыванием. Если архитектура опирается на конкретную границу изоляции, проверьте, что эта граница документирована и принудительно обеспечивается, а не просто подразумевается на схемах.

Для сред с повышенным риском стоит воспроизвести релевантное поведение внутри компании, если появится достаточно технических деталей. Не полагайтесь только на наличие или отсутствие CVE. Поведение облачного сервиса может измениться без классического события патчинга, а экспозиция конкретного tenant часто сильно зависит от конфигурации.

Практический вывод#

Эта история не столько про один спорный отчет по Azure, сколько про повторяющуюся проблему облачной безопасности: граница между «ожидаемым поведением» и «уязвимостью» часто сводится к спору о модели доверия.

Когда вендор и исследователь не согласны, операционный риск все равно остается у клиента. Отслеживайте заявление. Читайте ответ вендора. Проверяйте допущения, на которых держится ваша среда. Затем урезайте лишние привилегии вокруг инфраструктуры резервного копирования.

Системы backup нужны для восстановления. В облаке и Kubernetes они еще и ценные точки контроля. Относитесь к ним соответственно.