Уязвимость в Azure позволяла скомпрометировать виртуальные машины RHEL

Компания Microsoft исправила уязвимость, позволяющую скомпрометировать виртуальные машины Red Hat Enterprise Linux (RHEL), работающие в окружении Microsoft Azure.

Проблему обнаружил исследователь Йен Даффи (Ian Duffy) в процессе подготовки безопасного образа RHEL для использования в Azure. Как выяснилось, установочный скрипт в системе управления пакетами (RPM Package Manager) содержит информацию о сборке узла, которая может быть использована атакующими для поиска серверов обновлений Red Hat Update Appliance (RHUA). В процессе анализа Даффи обнаружил пакет PrepareRHUI (Red Hat Update Infrastructure), содержащий приложение rhui-monitor.cloud. Как выяснилось, в приложении был некорректно реализован механизм аутентификации, что позволило эксперту в конечном итоге получить SSL-сертификат, предоставляющий доступ с правами администратора к серверам RHUA.

По словам Даффи, на момент проведения исследования конфигурация всех образов Azure RHEL, представленных в Azure Marketplace, не предусматривала проведение проверок подлинности ключей GPG. Как пояснил эксперт, это значит, что все указанные виртуальные машины будут принимать вредоносные обновления. Таким образом, для получения полного доступа к виртуальной машине злоумышленнику потребуется всего лишь отправить специально сформированное обновление.

Даффи проинформировал Microsoft об обнаруженной проблеме и получил вознаграждение в сумме порядка $3,5 тыс. Компания уже заблокировала доступ к приложению rhui-monitor.cloud.