Come ben sappiamo, Microsoft sta spingendo molto sul cloud (tramite la piattaforma Azure) e sull’integrazione con Linux. Questo ha portato l’azienda di Redmond a fornire la possibilità di installare macchine virtuali RedHat sulla loro infrastruttura.
Ian Duffy, un software engineer della famosa Zalando, nel tentativo di fornire una serie di servizi erogati tramite cloud, si è messo al lavoro per creare un’immagine personalizzata di RedHat Linux che potesse essere eseguita sia su Azure che sul sistema di Amazon AWS (Amazon Web Services).
Quello che ha scoperto lavorando in tal senso è impressionante!
Entrambi i sistemi cloud forniscono un unico Red Hat Update Appliance per regione (ovvero, il “datacenter” in cui si decide di far girare il proprio host) che si occupa di fare da repository interno per i pacchetti installati sulle VM. Nonostante l’idea abbia un senso, almeno al fine di ottimizzare ed unificare gli update ed i pacchetti disponibili, pare che l’appliance installata da Microsoft soffra di un bug decisamente grave.
Come ha dettagliato in un post sul suo blog, Ian ha scoperto che è possibile ottenere un accesso di amministratore a questo appliance. Da qui un possibile attaccante potrebbe alterare un qualsiasi pacchetto presente sul repository unificato, magari sostituendo un software ampiamente installato su RH (ssh, ad esempio) con lo stesso pacchetto aggiunto di una comoda backdoor.
The vulnerability around how Microsoft Azure handles RHEL updates shows how things can go very wrong when private appliances meant for internal use become accessible to the public
La vulnerabilità attorno a come Microsoft Azure gestisce gli update RHEL mostra come le cose posso andare molto male quando appliance private intese per usi interni diventano accessibili al pubblico
Questo quanto affermato, in risposta alla notizia, da Roy Feintuch, CTO di Dome9, azienda che si occupa di sicurezza di sistemi cloud.
Fortunatamente, poco dopo che Ian ha segnalato il problema al Microsoft Online Services Bug Bounty Program, Microsoft ha –questa volta– rimediato in tempi brevi, e dato un riscontro con la seguente affermazione:
Microsoft agreed it was a vulnerability in their systems. Immediate action was taken to prevent public access to rhui-monitor.cloudapp.net
Microsoft conferma che si tratta di una vulnerabilità nei propri sistemi. Sono stati presi rimedi immediati in tal senso per evitare l’accesso pubblico a rhui-monitor.cloudapp.net
Insomma, tutto è bene quel che finisce bene, ma questa storia non fa altro che sottolineare come affidarsi a sistemi esterni, anche di livello enterprise come Azure di Microsoft, non da automaticamente garanzia di avere livelli di sicurezza maggiori di quelli implementabili localmente.
Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Lascia un commento