Befoltozta azokat a biztonsági réseket a Microsoft, melyek kihasználásával az összes Azure Red Hat Enterprise Linux támadhatóvá vált. Ian Duffy szoftvermérnök akadt rá a hibákra, miközben egy biztonsági RHEL image-et készített Microsoft Azure-ra.
A művelet során észrevette, hogy egy Azure telepítőszkript előrekonfigurált RPM Package Managert használ, ami viszont olyan host információkat tartalmaz, amik lehetővé teszik egy támadó számára, hogy mind a négy Red Hat Update Appliance-ra ráakadjon, ezáltal pedig a REST API kiszolgáltatottá válhat HTTPS alatt.
Ebül szerzett root jogosultság
Így akadt rá Duffy arra a PrepareRHUI (Red Hat Update Infrastructure) csomagra, ami az összes Azure RHEL-en futott és tartalmazta a rhui-monitor.cloudot. Duffy megvizsgálta a hostot és rájött, hogy rossz felhasználónév/jelszó hitelesítéssel dolgozik, amivel lehetővé vált számára, hogy hozzáférjen a backend loggyűjtő alkalmazáshoz. Ez a naplófájlok és konfigurációs állományok mellett egy SSL-tanúsítvány elérését is felkínálta számára, amivel pedig teljes, adminisztrátori szintű jogosultságot kapott mind a négy Red Hat Update Appliance-en.
Duffy elmondása értelmében az összes Azure RHEL image GPG hitelesítő-ellenőrzés nélkül volt konfigurálva, ami azt jelenti, hogy mindegyik szó nélkül benyelt volna egy ártó szándékkal létrehozott csomagfrissítést a következő update ciklusban.
"Elméletileg a hiba kihasználásával root jogosultságokat lehetett volna szerezni az összes virtuális gépre [..] pusztán egy általánosan használt csomag frissítésének kiadásával” – foglalta össze Duffy, akinek bejelentése nyomán a Microsoft megtette a szükséges lépéseket. Lezárta a rhui-monitor.cloudhoz való hozzáférést és bezárta a biztonsági réseket.
Déjà vu
Nem ez az első alkalom, hogy Duffy hibát talált. A szoftvermérnök beszámolója alapján a kötelezően használandó Microsoft Azure Linux Agent (WaLinuxAgent) is sebezhetőnek bizonyult, ami az API kulcsok debugolási célokból való használatát teszi lehetővé. A hibás agent révén Duffy adminisztrátori szintű API kulcsokat szerzett, melyek segítségével bármelyik RHEL-ről, ami ugyanazon a storage-en futott, letölthette a virtuális merevlemezek tartalmát.
Ugyan azt nem árulta el a szoftvermérnök, hogy pontosan mekkora összeggel jutalmazták a bejelentésért, de azt elmondta, hogy 3500 dollárnál kevesebb összeg ütötte a markát. Ez persze még mindig szép pénz, de eltörpül például a kiemelten veszélyes Apple bugokért járó összegekhez képest.
Exkluzív szakmai nap a felhők fölött: KYOCERA Roadshow a MOL Toronyban
A jövő irodája már nem a jövő – hanem a jelen. A digitális transzformáció új korszakába lépünk, és ebben a KYOCERA nemcsak követi, hanem formálja is az irányt. Most itt a lehetőség, hogy első kézből ismerje meg a legújabb hardveres és szoftveres fejlesztéseket, amelyekkel a KYOCERA új szintre emeli a dokumentumkezelést és az üzleti hatékonyságot.
a melléklet támogatója a One Solutions
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak