Vulnerabilidad de Azure hizo posible acceso administrativo a Red Hat Enterprise Linux

Una vulnerabilidad en la plataforma cloud de Microsoft podía en teoría ser utilizada para obtener acceso como administrador a instancias de Red Hat Enterprise Linux (RHEL), como asimismo a cuentas de almacenamiento hospedadas en Azure. De paso, Microsoft perdió el control de la facturación por uso.

Diario TI 28/11/16 11:30:08

La vulnerabilidad fue detectada por un ingeniero de software identificado como Ian Duffy, mientras creaba una imagen RHEL protegida para ser utilizada en Amazon Web Services (AWS) y Azure. Durante el procedimiento instal√≥ a las actualizaciones de software desde un repositorio RHEL propiedad de Microsoft. En su blog, Duffy explica: ‚Äúse me encarg√≥ la tarea de crear una imagen de Red Hat Enterprise Linux que fuese compatible con la gu√≠a de seguridad para implementaciones t√©cnicas definidas por el Departamento de Defensa. Esta imagen ser√≠a utilizada, por igual en Amazon Web Services y Microsoft Azure. Ambas empresas ofrecen im√°genes mediante un modelo de precios de facturaci√≥n seg√ļn utilizaci√≥n.

‚ÄúPara m√≠, lo ideal era que mi imagen personalizada fuese facturada bajo el mismo mecanismo, ya que de esa forma las m√°quinas virtuales podr√≠an consumir actualizaciones de software desde un repositorio local de Red Hat Enterprise Linux propiedad de, y administrado por, Microsoft‚ÄĚ, escribe Duffy, agregando que Amazon Web Services y Microsoft Azure utilizan la infraestructura de actualizaci√≥n de Red Hat para ofrecer esta funcionalidad.

Amazon Web Services y Microsoft Azure utilizan certificados SSL para autentificar el acceso a los repositorios. Sin embargo, son los mismos certificados SSL para todas las instancias. En Amazon Web Services no es suficiente tener los certificados SSL, sino es necesario haber ejecutado la instancia desde una AMI asociada a un c√≥digo de facturaci√≥n. ‚ÄúEs precisamente este c√≥digo de facturaci√≥n que asegura que est√°s pagando la prima adicional para ejecutar Red Hat Enterprise Linux‚ÄĚ, indica Duffy, quien observa que para el caso de Azure, a√ļn no est√° definido c√≥mo Microsoft controla la facturaci√≥n.

‚ÄúAl momento de mi investigaci√≥n, era posible copiar los certificados SSL de una instancia a otra y autenticar correctamente. Adem√°s, al duplicar un disco duro virtual de Red Hat Enterprise Linux y crear una nueva instancia a partir del nuevo disco, toda la informaci√≥n para facturaci√≥n se perd√≠a, aunque el acceso al repositorio continuaba disponible‚ÄĚ, escribe Duffy en su blog.

shutterstock_416911360-sergei-bachlakov-microsoft-web

‚ÄúA pesar que la aplicaci√≥n requer√≠a autenticaci√≥n mediante nombre de usuario y contrase√Īa, fue posible ejecutar su ‚Äėbackend log collector‚Äô en un servidor de contenido especificado por m√≠ mismo.

Cuando el servicio del colector cumpl√≠a su funci√≥n, la aplicaci√≥n proporcionaba URLs de archivos que conten√≠an la informaci√≥n registrada y archivos de configuraci√≥n de los servidores‚ÄĚ, indica el ingeniero de software, quien pone de relieve que esta situaci√≥n hac√≠a posible, al menos potencialmente, acceder a las cuentas de almacenamiento.

‚ÄúDebido a una implementaci√≥n deficiente de Microsoft Azure Linux (WaLinuxAgent), tambi√©n fue posible obtener las claves API de administrador, y con ello acceso a la cuenta de almacenamiento utilizado por la m√°quina virtual para efectos de depuraci√≥n de archivos. En el momento de mi investigaci√≥n, la configuraci√≥n est√°ndar de esta cuenta de almacenamiento la dirig√≠a a una cuenta compartida por m√ļltiples m√°quinas virtuales. Por lo tanto, si la cuenta de almacenamiento era utilizada por m√ļltiples m√°quinas virtuales existe la posibilidad de descargar sus discos duros virtuales‚ÄĚ, escribe el experto.

Duffy inform√≥ las vulnerabilidades a Microsoft como parte de su programa de recompensa de errores. La compa√Ī√≠a ya ha tomado las medidas necesarias para impedir el acceso p√ļblico a rhui-monitor.cloudapp.net y Red Hat Update Appliances.

Se desconoce si la vulnerabilidad fue explotada con fines malignos antes que Duffy comunicara la situación a Microsoft.

Fuente:http://diarioti.com