روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اخباری مبنی بر اقدامی نسبتاً خطرناک در Microsoft Azure به بیرون درز کرده است: گفته میشود وقتی کاربری ماشین مجازی لینوکس را میسازد و یک سری سرویسهای خاص آزور را فعالسازی میکند، پلتفرم آزور به طور خودکار عامل Open Management Infrastructure (OMI) را روی دستگاه نصب میکند؛ آن هم بدون اینکه کاربر ذرهای روحش از ماجرا خبر داشته باشد. گرچه ممکن است این نصب مخفیانه در ظاهر افتضاح به نظر برسد اما این یک مورد در واقع اگر دو مسئله پیش نمیآید چندان بد هم نبود: اول اینکه این عامل آسیبپذیریهای شناختهشدهای دارد و دوم اینکه این عامل هیچ مکانیزم خودکار آپدیتی در آزود ندارد. تا موقعی که مایکروسافت این مشکل را حل نکند، سازمانهایی که از ماشینهای مجازی لینوکس روی آزور استفاده میکنند باید دست به کار شوند.
آسیبپذیریهایی داخل OMI و نحوه اکسپلویت مهاجمین
در رویداد Patch Tuesday سپتامبر سال جاری، مایکروسافت آپدیتهای امنیتی را برای چهار آسیبپذیری در عامل Open Management Infrastructure منتشر کرد. یکی از آنها که CVE-2021-38647 است اجازه اجرای کد ریموت را میدهد و این آسیبپذیری بسیار هم مهم است؛ بقیه نیز عبارتند از CVE-2021-38648، CVE-2021-38645 و CVE-2021-38649 که میتوانند در حملات چند مرحلهای زمانیکه مهاجمین زودتر به شبکه قربانی نفوذ کردهاند برای ارتقای مزیت مورد استفاده قرار گیرند. این سه آسیبپذیری روی CVSS رتبهبندی بالایی را به خود اختصاص دادند. وقتی کاربران مایکروسافت آزور یک ماشین مجازی لینوکس درست میکنند و سریهایی از سرویسها را فعالسازی مینمایند، OMI–آسیبپذیریها و همه- به طور خودکار در سیستم به کار گرفته میشود. این سرویسها عبارتند از Azure Automation، Azure Automatic Update، Azure Operations Management Suite، Azure Log Analytics، Azure Log Analytics و Azure Diagnostics که البته این لیست کاملِ کامل هم نیست. عامل Open Management Infrastructure به خودی خود در سیستم بالاترین مزایاها را دارد و چون تسکهایس شامل جمعآوری آمار و سینک کردن تنظیمات میشود عموماً میشد از طریق چندین پورت http–بسته به سرویسهای فعالسازیشده- از اینترنت قابلدسترسی باشد. برای مثال اگر درگاه شنود 5986 باشد، مهاجمین میتوانند بالقوه آسیبپذیری CVE-2021-38647 را اکسپلویت کنند و از راه دور کد مخرب را اجرا نمایند. اگر OMI برای مدیریت ریموت موجود باشد (از طریق پورت 5986، 5985 یا 1270) بیگانگان میتوانند همان آسیبپذیری را برای دسترسی داشتن به کل شبکه در حوالی آزور اکسپلویت کنند. متخصصین میگویند این آسیبپذیری را خیلی راحت میشود اکسپلویت کرد.
این حتی حادتر هم هست. RCE سادهترین REC است که میشود در ذهن تصور کرد. اگر فقط هدر نویسنده را حذف کنید دیگر روت میشوید. از راه دور. روی همه ماشینها. آیا اصلا ما در 2021 زندگی میکنیم؟ pic.twitter.com/iIHNyqgew4
- آمی لوتواک (@amiluttwak) 14 سپتامبر 2021.
تا کنون هیچ حمله محیط بیرونی گزارش نشده اما با توجه به حجم اطلاعات موجود راحت میشود این آسیبپذیریها را اکسپلویت کرد.
راهکار امنیتی
مایکروسافت پچهایی برای هر چهارتای این آسیبپذیریها منتشر کرده است. با این حال OMI همیشه هم به طور خودکار آپدیت نمیشد پس باید چک کنید ببینید کدام نسخه روی ماشین مجازی لینوکس شما به کار گرفته شده است. اگر قدیمیتر از 1.6.8.1 باشد، عامل Open Management Infrastructure خود را آپدیت کنید. متخصصین همچنین توصیه میکنند دسترسی شبکه به پورتهای 5985، 5986 و 1270 را محدود کنید تا هیچکس نتواند RCE را اجرا کند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
