Компания Microsoft исправила уязвимость, позволяющую скомпрометировать виртуальные машины Red Hat Enterprise Linux (RHEL), работающие в окружении Microsoft Azure. Проблему обнаружил исследователь Йен Даффи (Ian Duffy) в процессе подготовки безопасного образа RHEL для использования в Azure.
Как выяснилось, установочный скрипт в системе управления пакетами (RPM Package Manager) содержит информацию о сборке узла, которая может быть использована атакующими для поиска серверов обновлений Red Hat Update Appliance (RHUA). В процессе анализа Даффи обнаружил пакет PrepareRHUI (Red Hat Update Infrastructure), содержащий приложение rhui-monitor.cloud. Как выяснилось, в приложении был некорректно реализован механизм аутентификации, что позволило эксперту в конечном итоге получить SSL-сертификат, предоставляющий доступ с правами администратора к серверам RHUA.
По словам Даффи, на момент проведения исследования конфигурация всех образов Azure RHEL, представленных в Azure Marketplace, не предусматривала проведение проверок подлинности ключей GPG. Как пояснил эксперт, это значит, что все указанные виртуальные машины будут принимать вредоносные обновления. Таким образом, для получения полного доступа к виртуальной машине злоумышленнику потребуется всего лишь отправить специально сформированное обновление. Даффи проинформировал Microsoft об обнаруженной проблеме и получил вознаграждение в $3,5 тыс. Компания уже заблокировала доступ к приложению rhui-monitor.cloud. (Microsoft/NovostIT)