У Microsoft Azure виявили серйозну вразливість, яка зачіпає віртуальні машини Linux
Міжнародна компанія рішень для хмарної безпеки Wiz знову виявила серйозну вразливість у Microsoft Azure. Цього разу вона зачіпає віртуальні машини Linux.
Зазначено, що вразливість під назвою OMIGOD міститься в службі OMI (Open Management Interface), встановленій у якості побічного продукту включення будь-якого з декількох варіантів створення звітів і/або управління журналами в користувацькому інтерфейсі Azure. Вона працює більше як служба WMI.
У чому небезпека
У гіршому випадку вразливість в OMI може бути використана для віддаленого виконання коду з метою отримання root-прав. Щоправда, брандмауер Azure, встановлений за замовчуванням за межами віртуальної машини, обмежує доступ до внутрішніх мереж більшості клієнтів.
Відомо, що частина специфікації OMI вимагає аутентифікації для прив’язки команд і запитів до певного коду користувача (UID). Натомість вразливість призводить до того, що запити відправляються без аутентифікації, ніби їх посилає користувач з root-правами.
Як наголошується, під час налаштування віддаленого управління OMI запускає HTTPS-сервер через TCP-порт 5986, до якого можна підключитися за допомогою стандартного HTTPS-клієнта, такого як curl, і видавати команди в протоколі SOAP, заснованому на XML.
При цьому в інших конфігураціях OMI працює тільки на локальному сокеті Unix за адресою /var/opt/omi/run/omiserver.sock, що обмежує його використання тільки локальними користувачами.
Які можливості відкриваються для хакерів
Старший дослідник безпеки Wiz Нір Офельд описав вразливість переважно з точки зору підвищення привілеїв. За його словами, зловмисник може виконати будь-яку довільну команду з правами root і використанням синтаксису OMI.
Мало того, в більших середовищах хакер може використовувати помилковий OMI, щоб захопити управління будь-якою іншою віртуальною машиною в тому ж сегменті мережі.
Як виявилось, організації, що використовують Microsoft System Center і керують локальними або віддаленими хостами Linux із його допомогою, також отримують помилкову версію OMI, розгорнуту на цих керованих хостах.
Як відреагували на вразливість у Microsoft
Незважаючи на очевидну серйозність OMIGOD, яка включає чотири окремі, але пов’язані помилки, Wiz було важко отримати винагороду від Microsoft. Представники компанії спочатку відхилили повідомлення про вразливість як про інцидент, що «виходить за рамки» Azure. У телефонній розмові вони навіть охарактеризували помилку як проблему софту з відкритим вихідним кодом. Однак переважна більшість коммитів в OMI продовжували виходити від працівників Microsoft.
Повідомляється, що ще одна проблема криється в автоматичному розгортанні OMI всередині віртуальної машини при кожному виборі параметра, що залежить від нього. При цьому адмін не отримує очевидного повідомлення. Більшість адміністраторів Azure, схоже, виявляють існування OMI тільки в разі дампів ядра.
Зрештою корпорація Microsoft все ж виплатила Wiz $70 тисяч за знайдені помилки в софті.
«OMI схожа на реалізацію Linux для інфраструктури управління Windows. Ми припускаємо, що, коли вони перейшли в хмару і повинні були підтримувати машини з Linux, то хотіли, щоб один і той самий інтерфейс був доступний як для комп’ютерів Windows, так і для Linux», — пояснив Офельд.
Як наголошується, включення OMI в Azure Management і в Microsoft System Center означає, що він встановлюється як низькорівневий компонент на величезну кількість критично важливих машин Linux. При цьому відомо, що над OMI працюють 24 учасники, він отримав 90 форків і 225 «зірок» за 9 років на Github.
Читайте також технічні статті на тему Azure від авторів нашої спільноти.
1 коментар
Додати коментар Підписатись на коментаріВідписатись від коментарів