Befoltozta azokat a biztonsági réseket a Microsoft, melyek kihasználásával az összes Azure Red Hat Enterprise Linux támadhatóvá vált. Ian Duffy szoftvermérnök akadt rá a hibákra, miközben egy biztonsági RHEL image-et készített Microsoft Azure-ra.

A művelet során észrevette, hogy egy Azure telepítőszkript előrekonfigurált RPM Package Managert használ, ami viszont olyan host információkat tartalmaz, amik lehetővé teszik egy támadó számára, hogy mind a négy Red Hat Update Appliance-ra ráakadjon, ezáltal pedig a REST API kiszolgáltatottá válhat HTTPS alatt.

Ebül szerzett root jogosultság

Így akadt rá Duffy arra a PrepareRHUI (Red Hat Update Infrastructure) csomagra, ami az összes Azure RHEL-en futott és tartalmazta a rhui-monitor.cloudot. Duffy megvizsgálta a hostot és rájött, hogy rossz felhasználónév/jelszó hitelesítéssel dolgozik, amivel lehetővé vált számára, hogy hozzáférjen a backend loggyűjtő alkalmazáshoz. Ez a naplófájlok és konfigurációs állományok mellett egy SSL-tanúsítvány elérését is felkínálta számára, amivel pedig teljes, adminisztrátori szintű jogosultságot kapott mind a négy Red Hat Update Appliance-en.

Duffy elmondása értelmében az összes Azure RHEL image GPG hitelesítő-ellenőrzés nélkül volt konfigurálva, ami azt jelenti, hogy mindegyik szó nélkül benyelt volna egy ártó szándékkal létrehozott csomagfrissítést a következő update ciklusban.

"Elméletileg a hiba kihasználásával root jogosultságokat lehetett volna szerezni az összes virtuális gépre [..] pusztán egy általánosan használt csomag frissítésének kiadásával” – foglalta össze Duffy, akinek bejelentése nyomán a Microsoft megtette a szükséges lépéseket. Lezárta a rhui-monitor.cloudhoz való hozzáférést és bezárta a biztonsági réseket.

Déjà vu

Nem ez az első alkalom, hogy Duffy hibát talált. A szoftvermérnök beszámolója alapján a kötelezően használandó Microsoft Azure Linux Agent (WaLinuxAgent) is sebezhetőnek bizonyult, ami az API kulcsok debugolási célokból való használatát teszi lehetővé. A hibás agent révén Duffy adminisztrátori szintű API kulcsokat szerzett, melyek segítségével bármelyik RHEL-ről, ami ugyanazon a storage-en futott, letölthette a virtuális merevlemezek tartalmát.

Ugyan azt nem árulta el a szoftvermérnök, hogy pontosan mekkora összeggel jutalmazták a bejelentésért, de azt elmondta, hogy 3500 dollárnál kevesebb összeg ütötte a markát. Ez persze még mindig szép pénz, de eltörpül például a kiemelten veszélyes Apple bugokért járó összegekhez képest.