Microsoft Azure缺陷使RHEL虚拟机面临黑客风险

在提供公共云服务方面，Azure客户最近向Microsoft教授了一门运行严格的课程。在线零售商Zalando的软件工程师IanDuffy已着手创建可在AmazonWebServices(AWS)和MicrosoftAzure上运行的安全，自定义的RedHatEnterpriseLinux(RHEL)机器映像。在此过程中，他发现了一个漏洞，该漏洞可能为攻击者提供了对虚拟机的根访问权限。

Duffy在博客文章中详细描述了该缺陷，他获得了“管理员级别的访问权，这些访问权是由MicrosoftAzure管理的所有RedHatUpdateInfrastructure的管理员权限，该基础结构为从Azure市场启动的所有RedHatEnterpriseLinux实例提供了所有软件包。”

从理论上讲，攻击者可能已经找到了负责管理和分发每个Azure区域的RHEL更新的RedHatUpdateAppliance，并获得了对RedHatEnterpriseLinuxAppliance代表状态传输API的管理访问权限。从那里，有可能上传更改后的程序包，使攻击者可以访问客户端虚拟机，而不执行更新。

攻击者一直在寻找云漏洞。

最近，安全公司Rapid7在主要云上部署了蜜罐，包括AWS，Azure，Google，Rackspace和IBMSoftLayer。该项目被称为海森堡云计划(HighHeisenbergCloud)，这项工作发现了对谷歌云上的端口443(HTTPS)的频繁扫描，并在所有云提供商中扫描了Mirai物联网(IoT)僵尸网络的迹象。

云安全专家Dome9的首席技术官兼联合创始人RoyFeintuch表示，AzureRHEL漏洞是私有数据中心与公共云之间存在安全漏洞的一个例子。他警告说，组织应注意将本地IT系统用于公共云消费。

Feintuch告诉eWEEK，“关于MicrosoftAzure如何处理RHEL更新的漏洞显示，当供内部使用的专用设备可以被公众访问时，事情会变得非常错误”。“精心设计和执行的访问控制是防止此类漏洞并控制其影响的关键。”

简而言之，Feintuch建议不要将安全性视为理所当然。

他继续说：“安全性的设计必须假设软件容易受到错误和错误配置的影响，并且最终暴露给公众的私人服务将遭到黑客攻击。”“有了适当的工具，使组织能够可视化，评估和强制执行他们部署的每种服务的暴露程度，就可以减轻此类风险。”

在Duffy向MicrosoftOnlineServicesBugBounty程序报告该问题之后，RHEL漏洞很快得到纠正。

“微软同意这是他们系统中的漏洞。立即采取了行动，以防止公众访问rhui-monitor.cloudapp.net”，该应用程序提供了受影响服务器的文件归档，包括日志，配置文件和SSL证书。他补充说：“此外，他们最终阻止了公众对RedHatUpdateAppliances的访问，并声称已经泄露了所有机密。”

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。