11 de diciembre de 2016

AZURE. Acceso a Red Hat Enterprise Linux gracias a vulnerabilidad de plataforma

Una vulnerabilidad en la plataforma cloud de Microsoft podía en teoría ser utilizada para obtener acceso como administrador a instancias de Red Hat Enterprise Linux (RHEL), como asimismo a cuentas de almacenamiento hospedadas en Azure. De paso, Microsoft perdió el control de la facturación por uso.
La vulnerabilidad fue detectada por un ingeniero de software identificado como Ian Duffy, mientras creaba una imagen RHEL protegida para ser utilizada en Amazon Web Services (AWS) y Azure. Durante el procedimiento instaló a las actualizaciones de software desde un repositorio RHEL propiedad de Microsoft. En su blog, Duffy explica: “se me encargó la tarea de crear una imagen de Red Hat Enterprise Linux que fuese compatible con la guía de seguridad para implementaciones técnicas definidas por el Departamento de Defensa. Esta imagen sería utilizada, por igual en Amazon Web Services y Microsoft Azure. Ambas empresas ofrecen imágenes mediante un modelo de precios de facturación según utilización.
Amazon Web Services y Microsoft Azure utilizan certificados SSL para autentificar el acceso a los repositorios. Sin embargo, son los mismos certificados SSL para todas las instancias. En Amazon Web Services no es suficiente tener los certificados SSL, sino es necesario haber ejecutado la instancia desde una AMI asociada a un código de facturación. “Es precisamente este código de facturación que asegura que estás pagando la prima adicional para ejecutar Red Hat Enterprise Linux”, indica Duffy, quien observa que para el caso de Azure, aún no está definido cómo Microsoft controla la facturación.
Cuando el servicio del colector cumplía su función, la aplicación proporcionaba URLs de archivos que contenían la información registrada y archivos de configuración de los servidores”, indica el ingeniero de software, quien pone de relieve que esta situación hacía posible, al menos potencialmente, acceder a las cuentas de almacenamiento.
Duffy informó las vulnerabilidades a Microsoft como parte de su programa de recompensa de errores. La compañía ya ha tomado las medidas necesarias para impedir el acceso público a rhui-monitor.cloudapp.net y Red Hat Update Appliances.
Se desconoce si la vulnerabilidad fue explotada con fines malignos antes que Duffy comunicara la situación a Microsoft.
Fuente: Diarioti.com