Befoltozta azokat a biztonsági réseket a Microsoft, melyek kihasználásával az összes Azure Red Hat Enterprise Linux támadhatóvá vált. Ian Duffy szoftvermérnök akadt rá a hibákra, miközben egy biztonsági RHEL image-et készített Microsoft Azure-ra.
A művelet során észrevette, hogy egy Azure telepítőszkript előrekonfigurált RPM Package Managert használ, ami viszont olyan host információkat tartalmaz, amik lehetővé teszik egy támadó számára, hogy mind a négy Red Hat Update Appliance-ra ráakadjon, ezáltal pedig a REST API kiszolgáltatottá válhat HTTPS alatt.
Ebül szerzett root jogosultság
Így akadt rá Duffy arra a PrepareRHUI (Red Hat Update Infrastructure) csomagra, ami az összes Azure RHEL-en futott és tartalmazta a rhui-monitor.cloudot. Duffy megvizsgálta a hostot és rájött, hogy rossz felhasználónév/jelszó hitelesítéssel dolgozik, amivel lehetővé vált számára, hogy hozzáférjen a backend loggyűjtő alkalmazáshoz. Ez a naplófájlok és konfigurációs állományok mellett egy SSL-tanúsítvány elérését is felkínálta számára, amivel pedig teljes, adminisztrátori szintű jogosultságot kapott mind a négy Red Hat Update Appliance-en.
Duffy elmondása értelmében az összes Azure RHEL image GPG hitelesítő-ellenőrzés nélkül volt konfigurálva, ami azt jelenti, hogy mindegyik szó nélkül benyelt volna egy ártó szándékkal létrehozott csomagfrissítést a következő update ciklusban.
"Elméletileg a hiba kihasználásával root jogosultságokat lehetett volna szerezni az összes virtuális gépre [..] pusztán egy általánosan használt csomag frissítésének kiadásával” – foglalta össze Duffy, akinek bejelentése nyomán a Microsoft megtette a szükséges lépéseket. Lezárta a rhui-monitor.cloudhoz való hozzáférést és bezárta a biztonsági réseket.
Déjà vu
Nem ez az első alkalom, hogy Duffy hibát talált. A szoftvermérnök beszámolója alapján a kötelezően használandó Microsoft Azure Linux Agent (WaLinuxAgent) is sebezhetőnek bizonyult, ami az API kulcsok debugolási célokból való használatát teszi lehetővé. A hibás agent révén Duffy adminisztrátori szintű API kulcsokat szerzett, melyek segítségével bármelyik RHEL-ről, ami ugyanazon a storage-en futott, letölthette a virtuális merevlemezek tartalmát.
Ugyan azt nem árulta el a szoftvermérnök, hogy pontosan mekkora összeggel jutalmazták a bejelentésért, de azt elmondta, hogy 3500 dollárnál kevesebb összeg ütötte a markát. Ez persze még mindig szép pénz, de eltörpül például a kiemelten veszélyes Apple bugokért járó összegekhez képest.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak