Компания решений для облачной безопасности Wiz снова обнаружила серьезную уязвимость в Microsoft Azure. Она затрагивает виртуальные машины Linux.

Wiz
Wiz

Уязвимость OMIGOD содержится в службе OMI (Open Management Interface), установленную в качестве побочного продукта включения любого из нескольких вариантов создания отчетов и/или управления журналами в пользовательском интерфейсе Azure. Она работает во многом как служба WMI.

В худшем случае уязвимость в OMI может быть использована для удаленного выполнения кода с целью получения root-прав. Правда, брандмауэр Azure, установленный по умолчанию за пределами виртуальной машины, ограничивает доступ к внутренним сетям большинства клиентов.

Часть спецификации OMI требует аутентификации для привязки команд и запросов к определенному идентификатору пользователя (UID). Уязвимость приводит к тому, что запросы отправляются без аутентификации, как если бы их посылал пользователь с root-правами.

При настройке удаленного управления OMI запускает HTTPS-сервер через TCP-порт 5986, к которому можно подключиться с помощью стандартного HTTPS-клиента, такого как curl, и выдавать команды в протоколе SOAP, основанном на XML. В других конфигурациях OMI работает только на локальном сокете Unix по адресу /var/opt/omi/run/omiserver.sock, что ограничивает его использование только локальными пользователями.

Старший исследователь безопасности Wiz Нир Офельд описал уязвимость, в основном, с точки зрения повышения привилегий. По его словам, злоумышленник может выполнить любую произвольную команду с правами root и использованием синтаксиса OMI.

Удаление файла, принадлежащего пользователю с правами root, на затронутой виртуальной машине Azure / ArsTechnica
Удаление файла, принадлежащего пользователю с правами root, на затронутой виртуальной машине Azure / ArsTechnica

В более крупных средах хакер может использовать ошибочный OMI, чтобы захватить управление любой другой виртуальной машиной в том же сегменте сети.

Оказывается, что организации, которые используют Microsoft System Center и управляют локальными или удаленными хостами Linux с его помощью, также получают ошибочную версию OMI, развернутую на этих управляемых хостах.

Несмотря на очевидную серьезность OMIGOD, которая включает четыре отдельных, но связанных ошибки, Wiz оказалось трудно получить вознаграждение от Microsoft. Представители компании сначала отклонили сообщение об уязвимости как об инциденте, «выходящем за рамки» Azure. В телефонном разговоре они даже охарактеризовали ошибку как проблему софта с открытым исходным кодом. Однако подавляющее большинство коммитов в OMI продолжали исходить от работников Microsoft.

Еще одна проблема кроется в автоматическом развертывании OMI внутри виртуальной машины при каждом выборе параметра, зависящего от него. При этом админ не получает очевидного уведомления. Большинство администраторов Azure, похоже, обнаруживают существование OMI только в случае дампов ядра.

Активация журналов - это один из способов автоматического развертывания OMI внутри виртуальной машины / ArsTechnica
Активация журналов — это один из способов автоматического развертывания OMI внутри виртуальной машины / ArsTechnica

В итоге Microsoft все же выплатила Wiz $ 70 000.

«OMI похожа на реализацию Linux для инфраструктуры управления Windows», — отмечает Офельд. — «Мы предполагаем, что, когда они перешли в облако и должны были поддерживать машины с Linux, они хотели, чтобы один и тот же интерфейс был доступен как для компьютеров Windows, так и для Linux».

Включение OMI в Azure Management и в Microsoft System Center означает, что он устанавливается как низкоуровневый компонент на огромное количество критически важных машин Linux.

При этом над OMI работают 24 участника, он получил 90 форков и 225 «звезд» за девять лет на Github.

Сотрудник Microsoft Дипак Джейн внес исправления в репозиторий OMI на GitHub 11 августа. Microsoft выпустила патчи 14 сентября.

Ранее компания сообщила, что исправила уязвимость в своих службах контейнеров Azure, которая могла быть использована злоумышленником для «доступа к информации клиентов». До этого Microsoft предупредила тысячи компаний о том, что в уязвимость в Azure позволяет злоумышленникам читать, изменять или даже удалять документы из базы данных Cosmos DB Microsoft Azure. Дыру в безопасности также обнаружили специалисты Wiz.

Между тем исследователи из CyberNews заявили, что они выявили более 2 млн веб-серверов, работающих на устаревших, не обслуживаемых и уязвимых Microsoft Internet Information Services (IIS).

Источник: Habr

Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие записи: