У Microsoft Azure виявили серйозну вразливість, яка зачіпає віртуальні машини Linux

Міжнародна компанія рішень для хмарної безпеки Wiz знову виявила серйозну вразливість у Microsoft Azure. Цього разу вона зачіпає віртуальні машини Linux.

Зазначено, що вразливість під назвою OMIGOD міститься в службі OMI (Open Management Interface), встановленій у якості побічного продукту включення будь-якого з декількох варіантів створення звітів і/або управління журналами в користувацькому інтерфейсі Azure. Вона працює більше як служба WMI.

У чому небезпека

У гіршому випадку вразливість в OMI може бути використана для віддаленого виконання коду з метою отримання root-прав. Щоправда, брандмауер Azure, встановлений за замовчуванням за межами віртуальної машини, обмежує доступ до внутрішніх мереж більшості клієнтів.

Відомо, що частина специфікації OMI вимагає аутентифікації для прив’язки команд і запитів до певного коду користувача (UID). Натомість вразливість призводить до того, що запити відправляються без аутентифікації, ніби їх посилає користувач з root-правами.

Як наголошується, під час налаштування віддаленого управління OMI запускає HTTPS-сервер через TCP-порт 5986, до якого можна підключитися за допомогою стандартного HTTPS-клієнта, такого як curl, і видавати команди в протоколі SOAP, заснованому на XML.

При цьому в інших конфігураціях OMI працює тільки на локальному сокеті Unix за адресою /var/opt/omi/run/omiserver.sock, що обмежує його використання тільки локальними користувачами.

Які можливості відкриваються для хакерів

Старший дослідник безпеки Wiz Нір Офельд описав вразливість переважно з точки зору підвищення привілеїв. За його словами, зловмисник може виконати будь-яку довільну команду з правами root і використанням синтаксису OMI.

Мало того, в більших середовищах хакер може використовувати помилковий OMI, щоб захопити управління будь-якою іншою віртуальною машиною в тому ж сегменті мережі.

Як виявилось, організації, що використовують Microsoft System Center і керують локальними або віддаленими хостами Linux із його допомогою, також отримують помилкову версію OMI, розгорнуту на цих керованих хостах.

Як відреагували на вразливість у Microsoft

Незважаючи на очевидну серйозність OMIGOD, яка включає чотири окремі, але пов’язані помилки, Wiz було важко отримати винагороду від Microsoft. Представники компанії спочатку відхилили повідомлення про вразливість як про інцидент, що «виходить за рамки» Azure. У телефонній розмові вони навіть охарактеризували помилку як проблему софту з відкритим вихідним кодом. Однак переважна більшість коммитів в OMI продовжували виходити від працівників Microsoft.

Повідомляється, що ще одна проблема криється в автоматичному розгортанні OMI всередині віртуальної машини при кожному виборі параметра, що залежить від нього. При цьому адмін не отримує очевидного повідомлення. Більшість адміністраторів Azure, схоже, виявляють існування OMI тільки в разі дампів ядра.

Зрештою корпорація Microsoft все ж виплатила Wiz $70 тисяч за знайдені помилки в софті.

«OMI схожа на реалізацію Linux для інфраструктури управління Windows. Ми припускаємо, що, коли вони перейшли в хмару і повинні були підтримувати машини з Linux, то хотіли, щоб один і той самий інтерфейс був доступний як для комп’ютерів Windows, так і для Linux», — пояснив Офельд.

Як наголошується, включення OMI в Azure Management і в Microsoft System Center означає, що він встановлюється як низькорівневий компонент на величезну кількість критично важливих машин Linux. При цьому відомо, що над OMI працюють 24 учасники, він отримав 90 форків і 225 «зірок» за 9 років на Github.

Читайте також технічні статті на тему Azure від авторів нашої спільноти.

👍НравитсяПонравилось1
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Ще одна свіжа вразливість: В Azure 2 роки існувала вразливість, що дозволяла отримати доступ до баз даних.

Через вразливість сервісу хмарних обчислень Microsoft Azure кілька тисяч клієнтів виявилися вразливими до кібератак (включаючи компанії з рейтингу Fortune 500, такі як Coca-Cola та Exxon-Mobil). Технологічний гігант попередив своїх клієнтів про вразливість свого флагманського сервісу баз даних Cosmos DB після того, як її виявила компанія з кібербезпеки Wiz.

Представники Wiz заявили, що змогли використати вразливість, яку назвали «ChaosDB», щоб отримати повний необмежений доступ до облікових записів і баз даних тисяч клієнтів Azure.

Компанія Wiz пояснила, що виявила ряд недоліків у функції Cosmos DB під назвою Jupyter Notebook, що дає клієнтам сервісу можливість візуалізувати свої дані. Ця функція існує з 2019 року, але її було ввімкнено для всіх клієнтів Cosmos DB лише цього лютого. Представник Wiz сказав, що ряд неправильних конфігурацій в інструменті створили лазівку, яка дозволяє будь-якому користувачу отримати повні адміністраторські права до інстансу Cosmos DB інших користувачів.

Майкрософт виплатив компані Wiz 40$ тис за знайдену вразливість.

Посилання: chaosdb.wiz.io

Подписаться на комментарии