Pen-tester efter fund af gigahul i Azure: Kunne opnå root-adgang til virtuelle Red Hat-instanser

Microsoft har patched flere huller, der kunne gøre en hacker i stand til at kompromittere Azure Red Hat Enterprise Linux-instanser.

Softwareingeniør Ian Duffy har spottet flere alvorlige sikkerhedshuller i Microsoft-skyen Azure i relation til Red Hat Enterprise Linux-instanser (RHEL). Det fortæller The Register på baggrund af et blogindlæg fra Duffy.

Det britiske teknologimedie oplyser, at sikkerhedshullerne har kunnet bruges af en angriber til at overtage alle RHEL-instanser. Microsoft har nu patched hullerne og udbetalt en dusør til softwareingeniøren. Han starter sit indlæg med et kort oprids af, hvad han har opnået. Det lyder som følger:

»Fik adgang på administratorniveau til hele den Microsoft Azure-styrede Red Hat Update Infrastructure, som leverer alle pakker til alle Red Hat Enterprise Linux-instanser, der bliver booted fra Azure Marketplace.«

Duffy faldt over det ene sikkerhedshul, da han var ved at bygge et sikkert RHEL-image til Microsoft Azure. I løbet af processen bemærkede han et installations-script, som Azure anvender i sky-tjenestens pre-konfigurerede RPM Package Manager.

Scriptet viste sig at indeholde build host-information, som ville gøre en angriber i stand til at finde fire Red Hat Update Appliances, som blotlægger et REST API over HTTPS.

I den forbindelse har Duffy fundet en pakke kaldet PrepareRHUI (Red Hat Update Infrastructure), som kører på alle Azure RHEL-installationer og som indeholder et build af rhui-monitor.cloud hosten.

Duffy har dernæst tilgået hosten og fundet frem til, at den havde en ikke-fungerende (eng. broken) brugernavn- og passwords-autentifikationsmekanisme. Det gjorde ham i stand til at tilgå en log-indsamlingsapplikation i backend.

Applikationen returnerede logs og konfigurationsfiler sammen med et SSL-certifikat, som gav fuld administrativ adgang til de fire Red Hat Update Appliances.

Og da alle Azure RHEL-images bliver konfigureret uden GPG-validerings-check betyder det ifølge Duffy, at alle instanser vil acceptere ondsindede pakke-opdateringer i forbindelse med deres næste kørsel af yum update.

»I teorien, hvis det bliver udnyttet, så kunne man have opnået root-adgang til alle virtuelle maskiner, som anvender (eng. consumes) repositories ved at frigive en opdateret udgave af gængse pakker og så vente på, at de virtuelle maskiner kører yum update,« oplyser Duffy i blogindlægget.

Microsoft har nu lukket for adgangen til rhui-monitor.cloud.

Blotlagt API-nøgle

En anden sårbarhed, som Duffy er faldet over, ligger i Microsoft Azure Linux Agent (WaLinuxAgent). Den har bloglagt API-nøgler i debugging-henseende. Denne fejl har ifølge Duffy gjort det muligt at få fat på administrator API-nøgler og downloade virtuelle harddiske fra alle RHEL-installationer, som anvender samme storage-konto.

Den entreprenante softwareingeniør oplyser ikke præcist, hvor meget han har modtaget i dusør fra Microsoft, Duffy nøjes i stedet med at nævne, at han har fået mindre end 3.500 dollars (ca 24.500 kroner).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere