Ugyanaz a Wiz felhőbiztonsági cég találta meg, amely a Cosmos DB súlyos sérülékenységét is. 70 ezer dollárt ért a felfedezés.

Egymás után két súlyos sérülékenységet is talált az Azure-ban a Wiz felhőbiztonsági cég. Az elsőt, amely az Azure világszerte sokak használta NoSQL adatzbázisát, a Cosmos DB-t érintette, augusztus végén publikált. A hiba súlyosságát jelzi, hogy arról még a Nemzeti Kibervédelmi Intézet is kiadott riasztást.

Oh my God! OMIGOD!

A mostani probléma sem kisebb. A Wiz kutatói az Azure-ban futó Linux virtuális gépekben találtak egy olyan, voltaképpen négy, egymással összefüggő hibából álló sérülékenységet, amelyet kihasználva root jogosultsággal lehet távolról tetszőleges kódot futtatni. A problémát egy viszonylag periferikus, ezáltal eddig kevés figyelmet kapott OMI (Open Management Interface) nevű szolgáltatás okozza, amely sok esetben automatikusan települ naplózási jelentések és/vagy menedzsment lehetőségek engedélyezésekor.

Ahhoz képest, hogy mekkora jelentőségű biztonsági résről van szó, a Wiz kutatócsapatának volt humora: a hiba a keresztségben ugyanis az OMIGOD nevet kapta.

Az OMI specifikációja megköveteli a hitelesítést, hogy a parancsokat és kéréseket egy adott felhasználói azonosítóhoz lehessen kötni. Egy hiba miatt azonban egyes nem szabványos kéréseket, amelyekből kimaradt a hitelesítési rész, úgy értelmez a rendszer, mintha azokat maga a root felhasználó küldte volna.

Ennek a hibának a kiaknázásával a támadó lényegében root szintre tudja emelni a jogosultsági szintjét, ha valamilyen módon hozzáférést szerez egy linuxos virtuális géphez. Nagyobb környezetben, ahol az OMI egy hálózati porton is figyel, ez kiindulópontja lehet a támadás oldalirányú kiterjesztésének, írja a Wiz a technikai ismertetőjében. A támadó lényegében egy olyan héjprogramhoz (shell) jut, amivel bármely más virtuális gép vezérlését megszerezheti az adott hálózati szegmensen belül.

A probléma nem korlátozódik az Azure-ra. A sebezhető OMI települ akkor is, ha a Microsoft System Centert (Windows Server 2019 vagy újabb verziónál) választják on- és off-premise Linux gazdagépek kezelésére. A Microsoft már kiadta a patcheket (CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649), melyek segítenek a hibaegyüttes orvoslásában.

A Microsoft először kötözködött, aztán fizetett

Az ArsTechnika beszámolója szerint az OMIGOD nyilvánvalóan súlyos volta ellenére a Wiznek nem kis munkájába került, hogy rávegye a Microsoftot: fizesse ki számukra az ilyenkor szokásos jutalmat.

A Microsoft szakértői kezdetben azzal érveltek, hogy a felfedezett hibák az Azure-on kívüli problémák, konkrétabban: nyílt forráskódú részekhez kötődnek. Ez részben igaz is. Az OMI-t eredetileg a Microsoft írta. 2012-ben azonban átadta a The Open Groupnak. Viszont a fejlesztések túlnyomó többsége továbbra is a Microsoft által alkalmazott közreműködőktől származik, azaz egyértelműen egy Microsoft-projekt, írja az ArsTechnika.

Ráadásul az OMI-t az Azure saját menedzsment rendszere automatikusan telepíti, ha valaki egy OMI-függő opcióra kattint. Jelenléte ezért nem is nyilvánvaló a rendszergazdák számára.

Végül a Microsoft belátta, hogy álláspontja kevéssé védhető, és 70 ezer dollárt ítélt meg az OMIGOD-ért a Wiznek.

A biztonsági rés műszaki részleteit egy kattintásnyira lehet tanulmányozni.

Biztonság

TeslaMate-fiókok szivárogtatnak érzékeny információkat a Teslákról

Ez most kivételesen nem amiatt van, mert Elon Muskot nagyon leköti az X felemeléséért és a Mars meghódításáért vívott küzdelme.
 
A világ a "cloud first" stratégiát követi. Nem kérdés, hogy a IT-biztonságnak is azzal kell tartania a tempót, de nem felejtheti, hogy honnan startolt.

a melléklet támogatója a Clico Hungary

Hirdetés

Jön a Clico formabontó cloud meetupja, ahol eloszlatják a viharfelhőket

Merre mennek a bitek a felhőben, ledobja-e szemellenzőjét az IT-biztonságért felelős kolléga, ha felhőt lát, lesz-e két év múlva fejlesztés cloud nélkül? A Clico novemberben fesztelen szakmázásra hívja a szoftverfejlesztőket a müncheni sörkertek vibrálását idéző KEG sörművházba.

Minden vállalatnak számolnia kell az életciklusuk végéhez érő technológiák licencelési keresztkockázataival. Rogányi Dániel és Vincze-Berecz Tibor (IPR-Insights) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 1. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.