Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
OMIGOD, czyli krytyczne podatności w aplikacji instalowanej niepostrzeżenie na maszynach wirtualnych Azure Linux
W ciągu ostatnich kilku lat sporo mówi się o szeroko rozumianym cloud security (bezpieczeństwo w chmurze). Metodyka ta z pewnością niesie za sobą wiele zalet – wszak ochronę naszych danych powierzamy firmom z wielomilionowymi budżetami. Problem pojawia się wtedy, gdy ci, którzy się tego podjęli, nie do końca radzą sobie z cyberbezpieczeństwem. Świetnym tego przykładem może być seria podatności OMIGOD, znaleziona przez badaczy z firmy Wiz:
Błędy odkryte przez testerów dotyczą OMI, czyli oprogramowania, które jest unixowym/linuxowym odpowiednikiem windowsowego WMI – pozwala użytkownikom na zarządzanie konfiguracjami w zdalnych i lokalnych środowiskach oraz na zbieranie statystyk.
Ze względu na łatwość użycia, jaką zapewnia OMI, oprogramowanie to jest szeroko wykorzystywane w Azure, szczególnie w Open Management Suite (OMS), Azure Insights, Azure Automation i wielu innych. Zostaje ono automatycznie zainstalowane i uruchomione (często bez wiedzy użytkownika) w momencie tworzenia przez nas maszyny wirtualnej na platformie Azure. Badacze z Wiz odkryli jednak szereg krytycznych luk bezpieczeństwa w OMI, pozwalających atakującemu na zdalne wykonanie kodu na naszej maszynie oraz na eskalację uprawnień:
Jedna z najistotniejszych podatności w powyższym zestawieniu – CVE-2021-38648 – jest trywialna w wykorzystaniu: atakujący musi tylko wysłać odpowiednie zapytanie bez nagłówka autoryzacji:
Warto dodać, że łatki powyższych podatności są już dostępne, jednak ze względu na brak mechanizmu automatycznej aktualizacji użytkownicy maszyn wirtualnych Azure Linux muszą zainstalować stosowne poprawki bezpieczeństwa we własnym zakresie:
~ Jakub Bielaszewski