website tracking softwareweb stats
آسیب پذیری OMIGOD

مایکروسافت آژور در معرض آسیب‌پذیری خطرناک OMIGOD

آسیب پذیری جدید OMIGOD در ماشین‌های مجازی مبتنی بر آژور به راحتی در دسترس مهاجمان بوده و توسط بات نت Mirai مورد حمله قرار گرفته است
آسیب پذیری جدید OMIGOD در ماشین‌های مجازی مبتنی بر آژور به راحتی در دسترس مهاجمان بوده و توسط بات نت Mirai مورد حمله قرار گرفته است
آی تی جو بستری جهت درج تبلیغات دانش محور محصولات شما

پیش از این که در مورد OMIGOD توضیح دهیم لازم است اشاره شود در اواخر ماه گذشته، محققان شرکت امنیت ابری Wiz یک آسیب پذیری جدید را پیدا کردند که به کاربران آژور اجازه می‌دهد تا به پایگاه‌های داده ابری سایر کاربران دسترسی داشته باشند و این امر اصل چنداجاره‌ای امن را زیر پا گذاشت. آن‌ها این آسیب پذیری را ChaosDB نامیدند.

در این ماه، آنها یکی دیگر را پیدا کردند. از برخی جهات، این آسیب پذیری به اندازه آسیب پذیری ChaosDB نیست زیرا امنیت چنداجاره‌‌ای (multitenancy) را از بین نمی‌برد. اما از جهات دیگر، آسیب پذیری جدید، OMIGOD، خیلی خطرناک‌تر و بدتر است.

آسیب پذیری ChaosDB ناشی از خطای پیکربندی اشتباه مایکروسافت بود. وقتی شرکت آن را برطرف کرد، این آسیب پذیری از بین رفت. مشتریان فقط باید کلیدهای امنیتی خود را ریست کنند. مایکروسافت آن را به سرعت وصله کرد و هیچ سوء استفاده ای گزارش نشده است.

ChaosDB یک آسیب پذیری جدی بود و محققان Wiz در آزمایش‌های خود توانستند به پایگاه داده‌های 500 شرکت دسترسی پیدا کنند، اما تأثیر عملی آن محدود بود.

در مورد جدیدترین آسیب پذیری، با نام OMIGOD، که توسط مهاجمان مورد سوء استفاده قرار گرفته است، شرایط به شکل دیگری است.

جان بامبنک کارشناس تهدیدات در شرکت امنیت سایبری NetEnrich و کنترل کننده حوادث در مرکز طوفان اینترنتی SANS، می‌گوید:«ChaosDB دارای ساختار اجرایی پیچیده‌تری بود و فقط می‌توانست به تصرف حساب کاربر منجر شود اما در آسیب پذیری OMIGOD ماشین‌های مجازی قربانی به راحتی به بات نت تبدیل می‌شوند و بهره برداری از آن در مقیاس بزرگ بسیار ملموس‌تر خواهد بود.»

جزئیات مربوط به آسیب پذیری OMIGOD

یکی از محصولات مایکروسافت، ماشین‌های مجازی لینوکس است که بر روی Azure cloud کار می‌کنند. برای مدیریت این ماشین‌های مجازی، مایکروسافت یک ابزار مدیریت منبع باز به نام OMI نصب می‌کند که مخفف Open Management Infrastructure است.

محققان Wiz چهار آسیب پذیری مهم را در OMI کشف کردند، که می‌تواند برای اجرای از راه دور کدهای مخرب در شبکه با یک درخواست واحد و افزایش سطح دسترسی مهاجمین به دسترسی روت، استفاده شود.

مشتریانی که از هر یک از خدمات زیر استفاده می‌کنند، در مقابل حملات آسیب پذیر هستند: Azure Automation، Azure Automatic Update، Azure Operations Suite، Azure Log Analytics، Azure Configuration Management، Azure Diagnostics و Azure Container Insights.

اما OMI در مراکز داده محلی نیز استفاده می‌شود هنگامی که شرکت‌ها از مرکز سیستم مایکروسافت برای اجرای لینوکس استفاده می‌کنند.

به گفته Wiz، بیش از 65 درصد از مشتریان مایکروسافت آژور در معرض خطر هستند.

این خبر بسیار بدی است، اما داستان همچنان ادامه دارد.

بدترین حالت این است که OMI در ماشین‌های مجازی مشتریان توسط مایکروسافت مستقر شده است، اما اکثر مشتریان حتی نمی‌دانند که چنین ابزاری در ماشین آن‌ها وجود دارد! به گفته نیر اوفلد، محقق امنیتی Wiz، هیچ اسناد واضحی در مورد استقرار، نظارت و به روزرسانی OMI در داکیومنت آژور وجود ندارد.

و از آنجا که OMI در دستگاه‌های مشتریان اجرا می‌شود، مایکروسافت خود را مسئول آنچه در مورد آن اتفاق می‌افتد نمی‌داند. به طور معمول، در زیرساخت‌های ابری، “مدل مسئولیت مشترک” بدین معناست که ارائه دهنده ابر مسئول امنیت زیرساخت‌ها به عنوان یک کل است و مشتری مسئول ایمن سازی آنچه در ماشین‌های مجازی خود اتفاق می‌افتد خواهد بود.

مایکروسافت وصله ای منتشر کرده است، اما بر عهده مشتریان است که سیستم‌های آسیب دیده را پیدا کرده و وصله را نصب کنند.

اوفلد می‌گوید:«هیچ راه آسانی برای مشتریان وجود ندارد که بدانند کدام ماشین مجازی آنها OMI را اجرا می‌کند زیرا Azure در هیچ کجای پورتال به OMI اشاره نمی‌کند، که این امر توانایی ارزیابی ریسک مشتریان را مختل می‌کند. این مسئله شکافی در مدل معروف مسئولیت مشترک نشان می‌دهد.»

Wiz یک لیست بازرسی و شناسایی OMIGOD برای کمک به شرکت‌ها در رسیدگی به این مشکل منتشر کرده است.

مایکروسافت همچنین راهنمای خود را برای کمک به مشتریان برای رسیدگی به آسیب پذیری OMIGOD منتشر کرده است.

متأسفانه، قبل از اینکه هکرها از آسیب پذیری مطلع شوند، همه این راهنما را دریافت نکرده یا وصله‌های امنیتی را نصب نکرده اند.

چندین شرکت امنیتی، از جمله Bad Packers و GreyNoise، تأیید کرده‌اند که مهاجمان از جمله اپراتور بات نت Mirai در حال اسکن وب برای ماشین‌های مجازی Azure Linux آسیب پذیر هستند.

یوناتان آمیتای، محقق امنیتی در شرکت امنیت سایبری ولکان سایبر (Vulcan Cyber) ​​می‌گوید:«تیم‌های امنیتی فناوری به ارائه دهندگان ابر مانند Azure اعتماد می‌کنند تا خدمات امن را ارائه دهند و در صورت بروز اشکال یا آسیب پذیری، اقدامات فوری را برای کاهش خطر انجام دهند.» تقریباً در همه موارد، ارائه دهندگان خدمات ابری که ما از آن‌ها استفاده می‌کنیم آسیب پذیری‌های موجود در خدمات آنها را قبل از اینکه در مقیاس بزرگ مورد سوء استفاده قرار گیرند، برطرف می‌کنند.

در اینجا چنین نبوده است و کارشناسان امنیتی مانند آمیتای می‌گویند که مایکروسافت مسئولیت این موضوع را منکر شده است.

آمیتای ابراز داشت:«به نظر شخصی من، مایکروسافت باید مسئول رفع آن در صورت امکان باشد. یا حداقل، ابزار تشخیص و وصله ای را منتشر کنید که مشتریان می‌توانند از آن برای انجام خودکار استفاده کنند.

در حال حاضر، شرکت‌هایی که از ماشین‌های مجازی مایکروسافت آژور استفاده می‌کنند، مورد حمله بات نت Mirai قرار گرفته اند و مورد ربوده شدن قرار می‌گیرند تا از آنها برای استخراج رمزارز استفاده کنند.»

آمیتای ادامه داد: «من فکر می‌کنم این آسیب پذیری به دلیل سهولت استفاده باورنکردنی از آن بیشتر قابل استفاده است.»

وی افزود، در واقع، مشکلات امنیتی آنقدر اساسی هستند که به نظر می‌رسد در دهه 1990 به سر می‌بریم!

آرچی آگاروال، بنیانگذار و مدیر عامل شرکت امنیت سایبری ThreatModeler، می‌گوید: «هیچ شکی در ذهن من وجود ندارد که ارائه دهنده ابری که به دلیل فعال کردن سیستم ورود به سیستم یا مدیریت خدمات را نصب می‌کند، کاملاً مسئول تضمین امنیت آن است.»

او گفت که این واقعیت که سرویس OMI تقریباً ناشناخته بود و این که با سطح دسترسی روت کار می‌کرد، بسیار نگران کننده است.

«این امر به طور بالقوه باعث ایجاد یک حفره برای اجرای کد از راه دور شده است که به هیچ وجه تقصیر مشتریان Azure نیست.»

بامبنک از NetEnrich می‌گوید:«بیشترین افزایش امنیت سایبری در 20 سال گذشته زمانی بود که مایکروسافت به طور پیش فرض وصله‌ها را به طور خودکار اعمال کرد. در دنیای لینوکس نیز باید همینطور باشد.»

او همچنین افزود که مدیران امنیت سایبری مراکز داده می‌توانند اقدامات پیشگیرانه ای را در برابر آسیب پذیری‌های احتمالی مشابه انجام دهند.

بامبنک گفت:«هر سیستمی در هر پلتفرمی باید از مدیریت پیکربندی خودکار برای اطمینان از نصب بسته‌های مجاز، پیکربندی‌ها و سیستم‌های قفل مناسب استفاده کند.»

آی تی جو بستری جهت اطلاع رسانی، مدیریت و برگزاری وبینارهای تخصصی و آموزشی شما