Los defectos en Azure Zero-Day destacan el riesgo que acecha en la cadena de suministro - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los defectos en Azure Zero-Day destacan el riesgo que acecha en la cadena de suministro

Hola, un placer verte por aquí. Soy Eduardo Arroyo y hoy hablaremos sobre Los defectos en Azure Zero-Day destacan el riesgo que acecha en la cadena de suministro

Los defectos en Azure Zero-Day destacan el riesgo que acecha en la cadena de suministro

Denominado OMIGOD, una serie de vulnerabilidades en la infraestructura de administración abierta utilizada en Azure en Linux demuestran amenazas de seguridad ocultas, dijeron los investigadores.

Las cuatro vulnerabilidades de día cero de Microsoft en la infraestructura de gestión abierta (OMI) de la plataforma en la nube de Azure, un software que muchos desconocen que está integrado en una variedad de servicios, muestran que OMI es un punto ciego de seguridad significativo, dijeron los investigadores.

Denominados colectivamente «OMIGOD» debido al nombre y la reacción de los investigadores que los descubrieron, los defectos, que eran de día cero cuando se encontraron, afectan a miles de clientes de Azure y millones de puntos finales, según uno. entrada en el blog lanzado esta semana por la empresa de seguridad de infraestructura en la nube Wiz.

Aunque Microsoft los actualizó esta semana en su serie de actualizaciones mensuales de Patch Tuesday, su presencia en OMI destaca el riesgo para la cadena de suministro cuando las empresas, sin saberlo, ejecutan código, especialmente código fuente abierto, en sus sistemas que permiten la explotación, dijeron los investigadores.

De hecho, los recientes ataques de alto perfil a la cadena de suministro, como SolarWinds y Kaseya, demuestran cuánto daño se puede causar cuando se explotan fallas no detectadas en software de terceros que las organizaciones usan en sistemas más grandes.

«Uno de los mayores desafíos para prevenirlos es que nuestra cadena de suministro digital no es transparente», escribió el investigador senior de seguridad Nir Ohfeld en la publicación de Wiz. “Si no sabe qué se esconde en los servicios y productos que usa todos los días, ¿cómo maneja el riesgo?

De hecho, las vulnerabilidades de OMIGOD descubiertas por Ohfeld y sus colegas representan una amenaza para la seguridad de millones de clientes potenciales desprevenidos de servicios de computación en la nube, dijo.

«En una pequeña muestra de inquilinos de Azure que analizamos, más del 65 por ciento [of Azure customers] sin saberlo, estaban en riesgo «, escribió Ohfeld.

Las vulnerabilidades descubiertas por los investigadores de Wiz incluyen una que permite la ejecución remota de código (RCE), CVE-2021-38647. Las otras tres son vulnerabilidades de escalada de privilegios (CVE-2021-38648, CVE-2021-38645 Y CVE-2021-38649) de menor riesgo pero que son esenciales para una cadena de ataque completa.

«A menos que se aplique un parche, los atacantes pueden explotar fácilmente estas cuatro vulnerabilidades para cambiar a privilegios de root y ejecutar de forma remota código malicioso (por ejemplo, cifrar archivos para obtener un rescate)», dijo Ohfeld.

Una razón de la alarma significativa sobre los defectos es que se encuentran en OMI, un agente que se implementa automáticamente cuando los clientes configuran una máquina virtual (VM) Linux en su nube y habilitan ciertos servicios de Azure, explicaron los investigadores.

«Esto sucede sin el consentimiento explícito o el conocimiento de los clientes», escribió Ohfeld. «Los usuarios simplemente hacen clic en» Aceptar «para registrar la colección durante la instalación y han dado su consentimiento sin saberlo».

OMI es una superficie de ataque peligrosa porque Azure «prácticamente no proporciona documentación pública» al respecto, dijo. Esto significa que la mayoría de los clientes nunca han oído hablar de él y desconocen que también existe como una entidad explotable en su implementación.

Además, el agente OMI se ejecuta como root con los privilegios más altos, por lo que cualquier usuario puede comunicarse con él mediante un socket UNIX o mediante una API HTTP si está configurado para permitir el acceso externo, explicó Ohfeld.

«Como resultado, las vulnerabilidades que encontramos permitirían a los usuarios externos o usuarios con privilegios limitados ejecutar código de forma remota en las máquinas de destino o aumentar los privilegios», escribió.

CVE-2021-38647, con un grado de severidad de 9,8, es el más grave de los defectos, permitiendo RCE. Sin embargo, para aprovecharlo, el producto de Azure que usa OMI debería ser uno, como Configuration Manager, que exponga un puerto HTTPS, o el puerto 5986, para interactuar con OMI.

«Esto es lo que hace posible la RCE», explicó Ohfeld. «Tenga en cuenta que la mayoría de los servicios de Azure que utilizan OMI lo implementan sin exponer el puerto HTTPS».

Al llamar al error «una vulnerabilidad de RCE de libro de texto que esperaría ver en la década de 1990» y no en 2021, la falla puede exponer millones de puntos finales porque «un atacante podría usar un solo paquete para rootear en una máquina remota simplemente eliminando la autenticación de encabezado, «, Escribió Ohfeld.

«Gracias a la combinación de un error de codificación de declaración condicional simple y una estructura de autenticación no inicializada, cualquier solicitud sin un encabezado de autorización tiene sus privilegios predeterminados en uid = 0, gid = 0, que es root», explicó.

En situaciones en las que los puertos OMI son accesibles a Internet para permitir la administración remota, los actores de amenazas pueden usar la vulnerabilidad para obtener acceso inicial a un entorno de Azure objetivo y luego moverse hacia los lados dentro de él, agregó Ohfeld.

«Un puerto HTTPS expuesto es el santo grial para los actores maliciosos», señaló. «Con un simple exploit pueden acceder a nuevos objetivos, ejecutar comandos con los privilegios más altos y posiblemente extenderse a nuevas máquinas objetivo».

Las otras tres fallas, con niveles de gravedad que van de 7.1 a 7.8, se pueden usar como parte de las cadenas de ataque una vez que los atacantes obtienen acceso inicial de privilegios bajos a sus objetivos, agregó Ohfeld.

Los investigadores de Wiz informaron las cuatro vulnerabilidades a Microsoft a través del proceso de divulgación responsable; la compañía los reparó a partir del martes, dijeron los investigadores.

La actualización de OMI y luego la instalación de los parches se realiza a través del servicio principal de Azure que lo instaló, agregaron. «Sin embargo, animamos a los clientes a verificar que su entorno esté realmente actualizado y que estén ejecutando la última versión de OMI (versión 1.6.8.1)», escribió Ohfeld.

Los diferentes servicios de Azure tienen diferentes números de puerto, como lo indica Microsoft en su aviso para CVE-2021-38647. Sin embargo, los clientes que deseen verificar que su nodo de Azure Linux no tiene un puerto expuesto deben buscar el ‘netstat -an | grep ‘en la mayoría de las distribuciones de Linux, lo que indicará si algún proceso está escuchando en un puerto abierto, dijo la compañía.

Ninguna solución de ciberseguridad es viable si no tiene los conceptos básicos. Profesionales de seguridad de Threatpost y Linux en Uptycs para un panel de discusión EN VIVO sobre. ¡Su principal punto de partida será una hoja de ruta de Linux para obtener las bases correctas! y únete al. Junto a Threatpost están Ben Montour y Rishi Kant de Uptycs, quienes lo guiarán a través de las mejores prácticas de seguridad de Linux y responderán sus preguntas más urgentes en tiempo real.

.

Deberías compartir en tus redes sociales para que tus amigos lo flipen

??? ? ? ???

Comparte