Ugyanaz a Wiz felhőbiztonsági cég találta meg, amely a Cosmos DB súlyos sérülékenységét is. 70 ezer dollárt ért a felfedezés.

Egymás után két súlyos sérülékenységet is talált az Azure-ban a Wiz felhőbiztonsági cég. Az elsőt, amely az Azure világszerte sokak használta NoSQL adatzbázisát, a Cosmos DB-t érintette, augusztus végén publikált. A hiba súlyosságát jelzi, hogy arról még a Nemzeti Kibervédelmi Intézet is kiadott riasztást.

Oh my God! OMIGOD!

A mostani probléma sem kisebb. A Wiz kutatói az Azure-ban futó Linux virtuális gépekben találtak egy olyan, voltaképpen négy, egymással összefüggő hibából álló sérülékenységet, amelyet kihasználva root jogosultsággal lehet távolról tetszőleges kódot futtatni. A problémát egy viszonylag periferikus, ezáltal eddig kevés figyelmet kapott OMI (Open Management Interface) nevű szolgáltatás okozza, amely sok esetben automatikusan települ naplózási jelentések és/vagy menedzsment lehetőségek engedélyezésekor.

Ahhoz képest, hogy mekkora jelentőségű biztonsági résről van szó, a Wiz kutatócsapatának volt humora: a hiba a keresztségben ugyanis az OMIGOD nevet kapta.

Az OMI specifikációja megköveteli a hitelesítést, hogy a parancsokat és kéréseket egy adott felhasználói azonosítóhoz lehessen kötni. Egy hiba miatt azonban egyes nem szabványos kéréseket, amelyekből kimaradt a hitelesítési rész, úgy értelmez a rendszer, mintha azokat maga a root felhasználó küldte volna.

Ennek a hibának a kiaknázásával a támadó lényegében root szintre tudja emelni a jogosultsági szintjét, ha valamilyen módon hozzáférést szerez egy linuxos virtuális géphez. Nagyobb környezetben, ahol az OMI egy hálózati porton is figyel, ez kiindulópontja lehet a támadás oldalirányú kiterjesztésének, írja a Wiz a technikai ismertetőjében. A támadó lényegében egy olyan héjprogramhoz (shell) jut, amivel bármely más virtuális gép vezérlését megszerezheti az adott hálózati szegmensen belül.

A probléma nem korlátozódik az Azure-ra. A sebezhető OMI települ akkor is, ha a Microsoft System Centert (Windows Server 2019 vagy újabb verziónál) választják on- és off-premise Linux gazdagépek kezelésére. A Microsoft már kiadta a patcheket (CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649), melyek segítenek a hibaegyüttes orvoslásában.

A Microsoft először kötözködött, aztán fizetett

Az ArsTechnika beszámolója szerint az OMIGOD nyilvánvalóan súlyos volta ellenére a Wiznek nem kis munkájába került, hogy rávegye a Microsoftot: fizesse ki számukra az ilyenkor szokásos jutalmat.

A Microsoft szakértői kezdetben azzal érveltek, hogy a felfedezett hibák az Azure-on kívüli problémák, konkrétabban: nyílt forráskódú részekhez kötődnek. Ez részben igaz is. Az OMI-t eredetileg a Microsoft írta. 2012-ben azonban átadta a The Open Groupnak. Viszont a fejlesztések túlnyomó többsége továbbra is a Microsoft által alkalmazott közreműködőktől származik, azaz egyértelműen egy Microsoft-projekt, írja az ArsTechnika.

Ráadásul az OMI-t az Azure saját menedzsment rendszere automatikusan telepíti, ha valaki egy OMI-függő opcióra kattint. Jelenléte ezért nem is nyilvánvaló a rendszergazdák számára.

Végül a Microsoft belátta, hogy álláspontja kevéssé védhető, és 70 ezer dollárt ítélt meg az OMIGOD-ért a Wiznek.

A biztonsági rés műszaki részleteit egy kattintásnyira lehet tanulmányozni.

Biztonság

Bűncselekmények gyanújával készült feljelentés a KRÉTA-rendszer ügyében

A 2019-ig visszatekintő kormányzati átvilágítás "gyanús mintázatot" talált, ennek nyomán pedig 40 oldalas feljelentés készült a KRÉTA, a Neptun és az állami iratkezelők 100 milliárd forintot is meghaladó kifizetésit illetően.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.