Befoltozta azokat a biztonsági réseket a Microsoft, melyek kihasználásával az összes Azure Red Hat Enterprise Linux támadhatóvá vált. Ian Duffy szoftvermérnök akadt rá a hibákra, miközben egy biztonsági RHEL image-et készített Microsoft Azure-ra.
A művelet során észrevette, hogy egy Azure telepítőszkript előrekonfigurált RPM Package Managert használ, ami viszont olyan host információkat tartalmaz, amik lehetővé teszik egy támadó számára, hogy mind a négy Red Hat Update Appliance-ra ráakadjon, ezáltal pedig a REST API kiszolgáltatottá válhat HTTPS alatt.
Ebül szerzett root jogosultság
Így akadt rá Duffy arra a PrepareRHUI (Red Hat Update Infrastructure) csomagra, ami az összes Azure RHEL-en futott és tartalmazta a rhui-monitor.cloudot. Duffy megvizsgálta a hostot és rájött, hogy rossz felhasználónév/jelszó hitelesítéssel dolgozik, amivel lehetővé vált számára, hogy hozzáférjen a backend loggyűjtő alkalmazáshoz. Ez a naplófájlok és konfigurációs állományok mellett egy SSL-tanúsítvány elérését is felkínálta számára, amivel pedig teljes, adminisztrátori szintű jogosultságot kapott mind a négy Red Hat Update Appliance-en.
Duffy elmondása értelmében az összes Azure RHEL image GPG hitelesítő-ellenőrzés nélkül volt konfigurálva, ami azt jelenti, hogy mindegyik szó nélkül benyelt volna egy ártó szándékkal létrehozott csomagfrissítést a következő update ciklusban.
"Elméletileg a hiba kihasználásával root jogosultságokat lehetett volna szerezni az összes virtuális gépre [..] pusztán egy általánosan használt csomag frissítésének kiadásával” – foglalta össze Duffy, akinek bejelentése nyomán a Microsoft megtette a szükséges lépéseket. Lezárta a rhui-monitor.cloudhoz való hozzáférést és bezárta a biztonsági réseket.
Déjà vu
Nem ez az első alkalom, hogy Duffy hibát talált. A szoftvermérnök beszámolója alapján a kötelezően használandó Microsoft Azure Linux Agent (WaLinuxAgent) is sebezhetőnek bizonyult, ami az API kulcsok debugolási célokból való használatát teszi lehetővé. A hibás agent révén Duffy adminisztrátori szintű API kulcsokat szerzett, melyek segítségével bármelyik RHEL-ről, ami ugyanazon a storage-en futott, letölthette a virtuális merevlemezek tartalmát.
Ugyan azt nem árulta el a szoftvermérnök, hogy pontosan mekkora összeggel jutalmazták a bejelentésért, de azt elmondta, hogy 3500 dollárnál kevesebb összeg ütötte a markát. Ez persze még mindig szép pénz, de eltörpül például a kiemelten veszélyes Apple bugokért járó összegekhez képest.
Az ötlettől az értékteremtésig – egy jól működő adattudományi szervezet alapjai
Miért bukik el annyi adattudományi kezdeményezés már az indulás után? A válasz gyakran nem az algoritmusok összetettségében, hanem az adatok minőségében és kezelésében keresendő. Stabil adatforrások, következetes feature-kezelés és egy jól felépített Feature Store nélkül a gépi tanulás ritkán jut el a valódi üzleti értékteremtésig.
a melléklet támogatója a One Solutions
EGY NAPBA SŰRÍTÜNK MINDENT, AMIT MA EGY PROJEKTMENEDZSERNEK TUDNIA KELL!
Ütős esettanulmányok AI-ról, agilitásról, csapattopológiáról. Folyamatos programok három teremben és egy közösségi térben: exkluzív információk, előadások, interaktív workshopok, networking, tapasztalatcsere.
2026.03.10. UP Rendezvénytér
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak