W ciągu ostatnich kilku lat sporo mówi się o szeroko rozumianym cloud security (bezpieczeństwo w chmurze). Metodyka ta z pewnością niesie za sobą wiele zalet – wszak ochronę naszych danych powierzamy firmom z wielomilionowymi budżetami. Problem pojawia się wtedy, gdy ci, którzy się tego podjęli, nie do końca radzą sobie z cyberbezpieczeństwem. Świetnym tego przykładem może być seria podatności OMIGOD, znaleziona przez badaczy z firmy Wiz:
Błędy odkryte przez testerów dotyczą OMI, czyli oprogramowania, które jest unixowym/linuxowym odpowiednikiem windowsowego WMI – pozwala użytkownikom na zarządzanie konfiguracjami w zdalnych i lokalnych środowiskach oraz na zbieranie statystyk.
Ze względu na łatwość użycia, jaką zapewnia OMI, oprogramowanie to jest szeroko wykorzystywane w Azure, szczególnie w Open Management Suite (OMS), Azure Insights, Azure Automation i wielu innych. Zostaje ono automatycznie zainstalowane i uruchomione (często bez wiedzy użytkownika) w momencie tworzenia przez nas maszyny wirtualnej na platformie Azure. Badacze z Wiz odkryli jednak szereg krytycznych luk bezpieczeństwa w OMI, pozwalających atakującemu na zdalne wykonanie kodu na naszej maszynie oraz na eskalację uprawnień:
Jedna z najistotniejszych podatności w powyższym zestawieniu – CVE-2021-38648 – jest trywialna w wykorzystaniu: atakujący musi tylko wysłać odpowiednie zapytanie bez nagłówka autoryzacji:
This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com/iIHNyqgew4
Warto dodać, że łatki powyższych podatności są już dostępne, jednak ze względu na brak mechanizmu automatycznej aktualizacji użytkownicy maszyn wirtualnych Azure Linux muszą zainstalować stosowne poprawki bezpieczeństwa we własnym zakresie: