-
09/04/2020
-
93
-
600 bài viết
Phát hiện lỗ hổng nghiêm trọng trong ứng dụng Azure được Mircrosoft bí mật cài đặt trên Linux VM
Trong Patch Tuesday được tung ra vào thứ ba vừa qua, hãng đã giải quyết một số lỗi bảo mật nghiêm trọng có thể bị đối thủ lợi dụng nhắm vào các khách hàng của Azure cloud và leo thang đặc quyền cũng như cho phép chiếm quyền từ xa trên các hệ thống tồn tại lỗ hổng.
Danh sách các lỗ hổng - gọi chung là OMIGOD - ảnh hưởng đến phần mềm có tên Open Management Infrastructure được triển khai tự động trong nhiều dịch vụ Azure. Trong đó có 1 lỗ hổng thực thi mã từ xa có mã định danh CVE-2021-38647 (điểm CVSS: 9,8) và 3 lỗ hổng leo thang đặc quyền là CVE-2021-38648 (điểm CVSS: 7,8), CVE-2021-38645 (điểm CVSS: 7,8), CVE-2021-38649 (điểm CVSS: 7,0).
Open Management Infrastructure (OMI) là một dự án mã nguồn mở tương tự như Windows Management Infrastructure (WMI) nhưng được thiết kế riêng cho các hệ thống Linux và UNIX như CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux và Ubuntu cho phép giám sát, quản lý inventory và đồng bộ hóa cấu hình trên các môi trường công nghệ thông tin.
Khách hàng của Azure trên các máy Linux, chạy một trong các dịch vụ như Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management và Azure Diagnostics, đều có nguy cơ bị khai thác.
Nhà nghiên cứu bảo mật của Wiz cho biết: “Khi người dùng kích hoạt bất kỳ dịch vụ phổ biến nào trong số này, OMI sẽ được cài đặt âm thầm trên máy ảo của họ, chạy ở các đặc quyền cao nhất có thể. Điều này được thực hiện mà người dùng không hề hay biết và không cần sự đồng ý của họ. Người dùng đơn giản chỉ cần click đồng ý thu thập log trong quá trình thiết lập.
Ngoài khách hàng của Azure cloud, các khách hàng khác của Microsoft cũng bị ảnh hưởng vì OMI có thể được cài đặt độc lập trên bất kỳ máy Linux nào và thường được triển khai hình thức on-premise.
Vì OMI agent chạy với đặc quyền root (quyền cao nhất), nên các lỗ hổng nói trên có thể bị tin tặc hoặc người dùng có đặc quyền thấp lạm dụng để thực thi mã từ xa trên các máy mục tiêu và leo thang đặc quyền, từ đó lợi dụng các quyền cao hơn để thực hiện các cuộc tấn công tinh vi.
Nghiêm trọng nhất là lỗ hổng thực thi mã từ xa do có mở một số cổng HTTPS ra internet như 5986, 5985 hoặc 1270, cho phép những kẻ tấn công có được quyền truy cập ban đầu vào môi trường Azure mục tiêu và sau đó di chuyển ngang bên trong mạng.
Đây là một lỗ hổng cơ bản đã cũ. Với một gói tin duy nhất, kẻ tấn công có thể dễ dàng chiếm quyền root từ xa trên một máy tính bằng cách loại bỏ authentication header.
OMI chỉ là một ví dụ về phần mềm được cài đặt sẵn và triển khai âm thầm trong môi trường cloud. Cần lưu ý là các phần mềm này không chỉ tồn tại trong Azure mà còn tồn tại trong Amazon Web Services và Google Cloud Platform.
Open Management Infrastructure (OMI) là một dự án mã nguồn mở tương tự như Windows Management Infrastructure (WMI) nhưng được thiết kế riêng cho các hệ thống Linux và UNIX như CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux và Ubuntu cho phép giám sát, quản lý inventory và đồng bộ hóa cấu hình trên các môi trường công nghệ thông tin.
Khách hàng của Azure trên các máy Linux, chạy một trong các dịch vụ như Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management và Azure Diagnostics, đều có nguy cơ bị khai thác.
Nhà nghiên cứu bảo mật của Wiz cho biết: “Khi người dùng kích hoạt bất kỳ dịch vụ phổ biến nào trong số này, OMI sẽ được cài đặt âm thầm trên máy ảo của họ, chạy ở các đặc quyền cao nhất có thể. Điều này được thực hiện mà người dùng không hề hay biết và không cần sự đồng ý của họ. Người dùng đơn giản chỉ cần click đồng ý thu thập log trong quá trình thiết lập.
Ngoài khách hàng của Azure cloud, các khách hàng khác của Microsoft cũng bị ảnh hưởng vì OMI có thể được cài đặt độc lập trên bất kỳ máy Linux nào và thường được triển khai hình thức on-premise.
Vì OMI agent chạy với đặc quyền root (quyền cao nhất), nên các lỗ hổng nói trên có thể bị tin tặc hoặc người dùng có đặc quyền thấp lạm dụng để thực thi mã từ xa trên các máy mục tiêu và leo thang đặc quyền, từ đó lợi dụng các quyền cao hơn để thực hiện các cuộc tấn công tinh vi.
Nghiêm trọng nhất là lỗ hổng thực thi mã từ xa do có mở một số cổng HTTPS ra internet như 5986, 5985 hoặc 1270, cho phép những kẻ tấn công có được quyền truy cập ban đầu vào môi trường Azure mục tiêu và sau đó di chuyển ngang bên trong mạng.
Đây là một lỗ hổng cơ bản đã cũ. Với một gói tin duy nhất, kẻ tấn công có thể dễ dàng chiếm quyền root từ xa trên một máy tính bằng cách loại bỏ authentication header.
OMI chỉ là một ví dụ về phần mềm được cài đặt sẵn và triển khai âm thầm trong môi trường cloud. Cần lưu ý là các phần mềm này không chỉ tồn tại trong Azure mà còn tồn tại trong Amazon Web Services và Google Cloud Platform.
Nguồn: The Hacker News