Varonis tehdit laboratuvarları tarafından keşfedilen kritik bir güvenlik açığı, Microsoft Azure’un AI ve yüksek performanslı bilgi işlem (HPC) iş yüklerinin kullanıcılarını potansiyel bir ayrıcalık artış saldırısına maruz bıraktı.
Select Azure Linux sanal makinelerine önceden yüklenen bir yardımcı programda bulunan kusur, ayrıcalıklı bir yerel kullanıcının kök erişimi kazanmasını mümkün kıldı-en az ayrıcalık prensibinin ciddi bir ihlali.
Güvenlik Açığının Kalbi: AZNFS-Mount Fayda
Varonis raporuna göre, Azure Blob depolama kaplarının ağ dosya sistemi (NFS) protokolü aracılığıyla monte edilmesi için tasarlanmış AZNFS-Mount yardımcı programı bu sorunun merkezindedir.
.png
)
Bu araç, buluttaki büyük ölçekli, yapılandırılmamış verilere erişimi basitleştirmek için birçok Azure HPC/AI görüntüsünde önceden paketlenmiş olarak gelir.
Bununla birlikte, 2.0.11’den önce yayınlanan tüm sürümler klasik bir ayrıcalık artış vektöründen etkilenir: yanlış yapılandırılmış bir SET kullanıcı kimliği (Suid) ikili.
Suid ikili dosyaları, Dosya Sahibinin bu durumdaki ayrıcalıklarıyla yürütüldükleri için Linux sistemlerinde güçlü araçlardır. kök-onları kimin başlattığına dikkat edin.
Bu bazen sistem işlemleri için gerekli olsa da, saldırganlar için cazip bir hedef oluşturur.
AZNFS-Mount sürüm 2.0.10 için yayın paketi oluşturan kod snippet
Kod kusuru kök ayrıcalıklarını ortaya çıkarır
Korunmasız bileşen olan Mount.aznfs, EXECV işlevi aracılığıyla kabuk komut dosyası olarak adlandırarak kullanıcı kontrollü ortam değişkenlerini korudu.
Kabuğu çağırmadan önce, gerçek kullanıcı kimliğini açıkça kök olarak ayarladı (UID 0). Bu dizi, saldırganların Mount.Aznfs çağrıldığında rasgele komutları kök olarak yürütmek için BASH_ENV değişkenini manipüle etmesine izin verdi.
Kusurdan yararlanmak için, bir saldırgan BASH_ENV ortam değişkenini kötü amaçlı bir komut dosyasına veya komutuna ayarlar ve ardından Suid ikili tetikler.
BASH daha sonra saldırganın kodunu tam kök ayrıcalıklarıyla yürütür, sistem uzlaşmasına, yanal harekete ve fidye yazılımı kurulumu gibi potansiyel olarak yıkıcı etkinlik için kapıyı açar.
Etki ve azaltma
İmtiyaz yükseltme güvenlik açıkları, bulut sanal makineleri gibi paylaşılan veya çok kullanıcı ortamlarda özellikle tehlikelidir. Bu durumda, bir saldırganın şu olabilir:
- Monte edilmiş ek hassas Azure saklama kapları,
- Değiştirilmiş sistem ikili dosyaları veya konfigürasyonlar,
- Dağıtılmış kötü amaçlı yazılım veya fidye yazılımı,
- Veya bulut ağının başka bir yerinde döner.
Microsoft, açıklamadan sonra sorunu hızla ele aldı. Güvenlik açığı bir Düşük Büyük ölçüde bir kullanıcının sömürmek için yerel erişime ihtiyacı olduğu için şiddet derecelendirmesi.
Yine de, AZNFS-Mount’un 2.0.11 sürümünde bir düzeltme yayınlandı ve kullanıcılara hemen yükseltmeleri şiddetle tavsiye ediliyor.
Bulut güvenlik uzmanları, ayrıcalık ödevleri ve uyanık yama düzenli olarak incelemelerini önermektedir. Bu danışmanlığın vurguladığı gibi, güvenilir araçlar bile saldırı vektörleri olabilir.
Kullanıcılar, BLOB depolamalı NFS uç noktalarını kullanan herhangi bir Azure VM’nin en son güncellemeleri uygulamasını ve güvenilir bireylere erişimi kısıtlamasını sağlamalıdır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir