پیش از این که در مورد OMIGOD توضیح دهیم لازم است اشاره شود در اواخر ماه گذشته، محققان شرکت امنیت ابری Wiz یک آسیب پذیری جدید را پیدا کردند که به کاربران آژور اجازه میدهد تا به پایگاههای داده ابری سایر کاربران دسترسی داشته باشند و این امر اصل چنداجارهای امن را زیر پا گذاشت. آنها این آسیب پذیری را ChaosDB نامیدند.
در این ماه، آنها یکی دیگر را پیدا کردند. از برخی جهات، این آسیب پذیری به اندازه آسیب پذیری ChaosDB نیست زیرا امنیت چنداجارهای (multitenancy) را از بین نمیبرد. اما از جهات دیگر، آسیب پذیری جدید، OMIGOD، خیلی خطرناکتر و بدتر است.
آسیب پذیری ChaosDB ناشی از خطای پیکربندی اشتباه مایکروسافت بود. وقتی شرکت آن را برطرف کرد، این آسیب پذیری از بین رفت. مشتریان فقط باید کلیدهای امنیتی خود را ریست کنند. مایکروسافت آن را به سرعت وصله کرد و هیچ سوء استفاده ای گزارش نشده است.
ChaosDB یک آسیب پذیری جدی بود و محققان Wiz در آزمایشهای خود توانستند به پایگاه دادههای 500 شرکت دسترسی پیدا کنند، اما تأثیر عملی آن محدود بود.
در مورد جدیدترین آسیب پذیری، با نام OMIGOD، که توسط مهاجمان مورد سوء استفاده قرار گرفته است، شرایط به شکل دیگری است.
جان بامبنک کارشناس تهدیدات در شرکت امنیت سایبری NetEnrich و کنترل کننده حوادث در مرکز طوفان اینترنتی SANS، میگوید:«ChaosDB دارای ساختار اجرایی پیچیدهتری بود و فقط میتوانست به تصرف حساب کاربر منجر شود اما در آسیب پذیری OMIGOD ماشینهای مجازی قربانی به راحتی به بات نت تبدیل میشوند و بهره برداری از آن در مقیاس بزرگ بسیار ملموستر خواهد بود.»
جزئیات مربوط به آسیب پذیری OMIGOD
یکی از محصولات مایکروسافت، ماشینهای مجازی لینوکس است که بر روی Azure cloud کار میکنند. برای مدیریت این ماشینهای مجازی، مایکروسافت یک ابزار مدیریت منبع باز به نام OMI نصب میکند که مخفف Open Management Infrastructure است.
محققان Wiz چهار آسیب پذیری مهم را در OMI کشف کردند، که میتواند برای اجرای از راه دور کدهای مخرب در شبکه با یک درخواست واحد و افزایش سطح دسترسی مهاجمین به دسترسی روت، استفاده شود.
مشتریانی که از هر یک از خدمات زیر استفاده میکنند، در مقابل حملات آسیب پذیر هستند: Azure Automation، Azure Automatic Update، Azure Operations Suite، Azure Log Analytics، Azure Configuration Management، Azure Diagnostics و Azure Container Insights.
اما OMI در مراکز داده محلی نیز استفاده میشود هنگامی که شرکتها از مرکز سیستم مایکروسافت برای اجرای لینوکس استفاده میکنند.
به گفته Wiz، بیش از 65 درصد از مشتریان مایکروسافت آژور در معرض خطر هستند.
این خبر بسیار بدی است، اما داستان همچنان ادامه دارد.
بدترین حالت این است که OMI در ماشینهای مجازی مشتریان توسط مایکروسافت مستقر شده است، اما اکثر مشتریان حتی نمیدانند که چنین ابزاری در ماشین آنها وجود دارد! به گفته نیر اوفلد، محقق امنیتی Wiz، هیچ اسناد واضحی در مورد استقرار، نظارت و به روزرسانی OMI در داکیومنت آژور وجود ندارد.
و از آنجا که OMI در دستگاههای مشتریان اجرا میشود، مایکروسافت خود را مسئول آنچه در مورد آن اتفاق میافتد نمیداند. به طور معمول، در زیرساختهای ابری، “مدل مسئولیت مشترک” بدین معناست که ارائه دهنده ابر مسئول امنیت زیرساختها به عنوان یک کل است و مشتری مسئول ایمن سازی آنچه در ماشینهای مجازی خود اتفاق میافتد خواهد بود.
مایکروسافت وصله ای منتشر کرده است، اما بر عهده مشتریان است که سیستمهای آسیب دیده را پیدا کرده و وصله را نصب کنند.
اوفلد میگوید:«هیچ راه آسانی برای مشتریان وجود ندارد که بدانند کدام ماشین مجازی آنها OMI را اجرا میکند زیرا Azure در هیچ کجای پورتال به OMI اشاره نمیکند، که این امر توانایی ارزیابی ریسک مشتریان را مختل میکند. این مسئله شکافی در مدل معروف مسئولیت مشترک نشان میدهد.»
Wiz یک لیست بازرسی و شناسایی OMIGOD برای کمک به شرکتها در رسیدگی به این مشکل منتشر کرده است.
مایکروسافت همچنین راهنمای خود را برای کمک به مشتریان برای رسیدگی به آسیب پذیری OMIGOD منتشر کرده است.
متأسفانه، قبل از اینکه هکرها از آسیب پذیری مطلع شوند، همه این راهنما را دریافت نکرده یا وصلههای امنیتی را نصب نکرده اند.
چندین شرکت امنیتی، از جمله Bad Packers و GreyNoise، تأیید کردهاند که مهاجمان از جمله اپراتور بات نت Mirai در حال اسکن وب برای ماشینهای مجازی Azure Linux آسیب پذیر هستند.
یوناتان آمیتای، محقق امنیتی در شرکت امنیت سایبری ولکان سایبر (Vulcan Cyber) میگوید:«تیمهای امنیتی فناوری به ارائه دهندگان ابر مانند Azure اعتماد میکنند تا خدمات امن را ارائه دهند و در صورت بروز اشکال یا آسیب پذیری، اقدامات فوری را برای کاهش خطر انجام دهند.» تقریباً در همه موارد، ارائه دهندگان خدمات ابری که ما از آنها استفاده میکنیم آسیب پذیریهای موجود در خدمات آنها را قبل از اینکه در مقیاس بزرگ مورد سوء استفاده قرار گیرند، برطرف میکنند.
در اینجا چنین نبوده است و کارشناسان امنیتی مانند آمیتای میگویند که مایکروسافت مسئولیت این موضوع را منکر شده است.
آمیتای ابراز داشت:«به نظر شخصی من، مایکروسافت باید مسئول رفع آن در صورت امکان باشد. یا حداقل، ابزار تشخیص و وصله ای را منتشر کنید که مشتریان میتوانند از آن برای انجام خودکار استفاده کنند.
در حال حاضر، شرکتهایی که از ماشینهای مجازی مایکروسافت آژور استفاده میکنند، مورد حمله بات نت Mirai قرار گرفته اند و مورد ربوده شدن قرار میگیرند تا از آنها برای استخراج رمزارز استفاده کنند.»
آمیتای ادامه داد: «من فکر میکنم این آسیب پذیری به دلیل سهولت استفاده باورنکردنی از آن بیشتر قابل استفاده است.»
وی افزود، در واقع، مشکلات امنیتی آنقدر اساسی هستند که به نظر میرسد در دهه 1990 به سر میبریم!
آرچی آگاروال، بنیانگذار و مدیر عامل شرکت امنیت سایبری ThreatModeler، میگوید: «هیچ شکی در ذهن من وجود ندارد که ارائه دهنده ابری که به دلیل فعال کردن سیستم ورود به سیستم یا مدیریت خدمات را نصب میکند، کاملاً مسئول تضمین امنیت آن است.»
او گفت که این واقعیت که سرویس OMI تقریباً ناشناخته بود و این که با سطح دسترسی روت کار میکرد، بسیار نگران کننده است.
«این امر به طور بالقوه باعث ایجاد یک حفره برای اجرای کد از راه دور شده است که به هیچ وجه تقصیر مشتریان Azure نیست.»
بامبنک از NetEnrich میگوید:«بیشترین افزایش امنیت سایبری در 20 سال گذشته زمانی بود که مایکروسافت به طور پیش فرض وصلهها را به طور خودکار اعمال کرد. در دنیای لینوکس نیز باید همینطور باشد.»
او همچنین افزود که مدیران امنیت سایبری مراکز داده میتوانند اقدامات پیشگیرانه ای را در برابر آسیب پذیریهای احتمالی مشابه انجام دهند.
بامبنک گفت:«هر سیستمی در هر پلتفرمی باید از مدیریت پیکربندی خودکار برای اطمینان از نصب بستههای مجاز، پیکربندیها و سیستمهای قفل مناسب استفاده کند.»
