Ugyanaz a Wiz felhőbiztonsági cég találta meg, amely a Cosmos DB súlyos sérülékenységét is. 70 ezer dollárt ért a felfedezés.

Egymás után két súlyos sérülékenységet is talált az Azure-ban a Wiz felhőbiztonsági cég. Az elsőt, amely az Azure világszerte sokak használta NoSQL adatzbázisát, a Cosmos DB-t érintette, augusztus végén publikált. A hiba súlyosságát jelzi, hogy arról még a Nemzeti Kibervédelmi Intézet is kiadott riasztást.

Oh my God! OMIGOD!

A mostani probléma sem kisebb. A Wiz kutatói az Azure-ban futó Linux virtuális gépekben találtak egy olyan, voltaképpen négy, egymással összefüggő hibából álló sérülékenységet, amelyet kihasználva root jogosultsággal lehet távolról tetszőleges kódot futtatni. A problémát egy viszonylag periferikus, ezáltal eddig kevés figyelmet kapott OMI (Open Management Interface) nevű szolgáltatás okozza, amely sok esetben automatikusan települ naplózási jelentések és/vagy menedzsment lehetőségek engedélyezésekor.

Ahhoz képest, hogy mekkora jelentőségű biztonsági résről van szó, a Wiz kutatócsapatának volt humora: a hiba a keresztségben ugyanis az OMIGOD nevet kapta.

Az OMI specifikációja megköveteli a hitelesítést, hogy a parancsokat és kéréseket egy adott felhasználói azonosítóhoz lehessen kötni. Egy hiba miatt azonban egyes nem szabványos kéréseket, amelyekből kimaradt a hitelesítési rész, úgy értelmez a rendszer, mintha azokat maga a root felhasználó küldte volna.

Ennek a hibának a kiaknázásával a támadó lényegében root szintre tudja emelni a jogosultsági szintjét, ha valamilyen módon hozzáférést szerez egy linuxos virtuális géphez. Nagyobb környezetben, ahol az OMI egy hálózati porton is figyel, ez kiindulópontja lehet a támadás oldalirányú kiterjesztésének, írja a Wiz a technikai ismertetőjében. A támadó lényegében egy olyan héjprogramhoz (shell) jut, amivel bármely más virtuális gép vezérlését megszerezheti az adott hálózati szegmensen belül.

A probléma nem korlátozódik az Azure-ra. A sebezhető OMI települ akkor is, ha a Microsoft System Centert (Windows Server 2019 vagy újabb verziónál) választják on- és off-premise Linux gazdagépek kezelésére. A Microsoft már kiadta a patcheket (CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649), melyek segítenek a hibaegyüttes orvoslásában.

A Microsoft először kötözködött, aztán fizetett

Az ArsTechnika beszámolója szerint az OMIGOD nyilvánvalóan súlyos volta ellenére a Wiznek nem kis munkájába került, hogy rávegye a Microsoftot: fizesse ki számukra az ilyenkor szokásos jutalmat.

A Microsoft szakértői kezdetben azzal érveltek, hogy a felfedezett hibák az Azure-on kívüli problémák, konkrétabban: nyílt forráskódú részekhez kötődnek. Ez részben igaz is. Az OMI-t eredetileg a Microsoft írta. 2012-ben azonban átadta a The Open Groupnak. Viszont a fejlesztések túlnyomó többsége továbbra is a Microsoft által alkalmazott közreműködőktől származik, azaz egyértelműen egy Microsoft-projekt, írja az ArsTechnika.

Ráadásul az OMI-t az Azure saját menedzsment rendszere automatikusan telepíti, ha valaki egy OMI-függő opcióra kattint. Jelenléte ezért nem is nyilvánvaló a rendszergazdák számára.

Végül a Microsoft belátta, hogy álláspontja kevéssé védhető, és 70 ezer dollárt ítélt meg az OMIGOD-ért a Wiznek.

A biztonsági rés műszaki részleteit egy kattintásnyira lehet tanulmányozni.

Biztonság

Linus Torvalds eligazította a generatív mesterséges intelligenciát

Már nagyon hiányzott a megfelelő iránymutatás a linuxos közösségnek.
 
Hirdetés

Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében

"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.

Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

a melléklet támogatója a Clico Hungary

Hirdetés

Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni

A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.