Критическая уязвимость в службе Microsoft Azure Health Bot Service сделала общедоступными кросс-тенантные ресурсы. Эта служба позволяет медицинским организациям создавать и развёртывать ИИ-приложения с чат-ботами.
Microsoft Azure Health Bot Service использует встроенную медицинскую базу данных с возможностями естественного языка для понимания клинической терминологии и позволяет организациям настраивать её в соответствии со своими вариантами использования.При проверке этой службы на предмет проблем безопасности компания Tenable обнаружила уязвимость в функции «Подключения к данным».
Эта функция позволяет ботам взаимодействовать с внешними источниками данных через сторонние API для извлечения информации.Хотя внутренняя служба метаданных Azure (IMDS) была надлежащим образом отфильтрована или недоступна, ответы перенаправления (коды состояния 301/302) позволяли обходить фильтры.
Читать на habr.com