在提供公共云服务方面,Azure客户最近向Microsoft教授了一门运行严格的课程。在线零售商Zalando的软件工程师IanDuffy已着手创建可在AmazonWebServices(AWS)和MicrosoftAzure上运行的安全,自定义的RedHatEnterpriseLinux(RHEL)机器映像。在此过程中,他发现了一个漏洞,该漏洞可能为攻击者提供了对虚拟机的根访问权限。
Duffy在博客文章中详细描述了该缺陷,他获得了“管理员级别的访问权,这些访问权是由MicrosoftAzure管理的所有RedHatUpdateInfrastructure的管理员权限,该基础结构为从Azure市场启动的所有RedHatEnterpriseLinux实例提供了所有软件包。”
从理论上讲,攻击者可能已经找到了负责管理和分发每个Azure区域的RHEL更新的RedHatUpdateAppliance,并获得了对RedHatEnterpriseLinuxAppliance代表状态传输API的管理访问权限。从那里,有可能上传更改后的程序包,使攻击者可以访问客户端虚拟机,而不执行更新。
攻击者一直在寻找云漏洞。
最近,安全公司Rapid7在主要云上部署了蜜罐,包括AWS,Azure,Google,Rackspace和IBMSoftLayer。该项目被称为海森堡云计划(HighHeisenbergCloud),这项工作发现了对谷歌云上的端口443(HTTPS)的频繁扫描,并在所有云提供商中扫描了Mirai物联网(IoT)僵尸网络的迹象。
云安全专家Dome9的首席技术官兼联合创始人RoyFeintuch表示,AzureRHEL漏洞是私有数据中心与公共云之间存在安全漏洞的一个例子。他警告说,组织应注意将本地IT系统用于公共云消费。
Feintuch告诉eWEEK,“关于MicrosoftAzure如何处理RHEL更新的漏洞显示,当供内部使用的专用设备可以被公众访问时,事情会变得非常错误”。“精心设计和执行的访问控制是防止此类漏洞并控制其影响的关键。”
简而言之,Feintuch建议不要将安全性视为理所当然。
他继续说:“安全性的设计必须假设软件容易受到错误和错误配置的影响,并且最终暴露给公众的私人服务将遭到黑客攻击。”“有了适当的工具,使组织能够可视化,评估和强制执行他们部署的每种服务的暴露程度,就可以减轻此类风险。”
在Duffy向MicrosoftOnlineServicesBugBounty程序报告该问题之后,RHEL漏洞很快得到纠正。
“微软同意这是他们系统中的漏洞。立即采取了行动,以防止公众访问rhui-monitor.cloudapp.net”,该应用程序提供了受影响服务器的文件归档,包括日志,配置文件和SSL证书。他补充说:“此外,他们最终阻止了公众对RedHatUpdateAppliances的访问,并声称已经泄露了所有机密。”
免责声明:本文由用户上传,如有侵权请联系删除!
