روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اخباری مبنی بر اقدامی نسبتاً خطرناک در Microsoft Azure به بیرون درز کرده است: گفته می‌شود وقتی کاربری ماشین مجازی لینوکس را می‌سازد و یک سری سرویس‌های خاص آزور را فعالسازی می‌کند، پلت‌فرم آزور به طور خودکار عامل Open Management Infrastructure (OMI) را روی دستگاه نصب می‌کند؛ آن هم بدون اینکه کاربر ذره‌ای روحش از ماجرا خبر داشته باشد. گرچه ممکن است این نصب مخفیانه در ظاهر افتضاح به نظر برسد اما این یک مورد در واقع اگر دو مسئله پیش نمی‌آید چندان بد هم نبود: اول اینکه این عامل آسیب‌پذیری‌های شناخته‌شده‌ای دارد و دوم اینکه این عامل هیچ مکانیزم خودکار آپدیتی در آزود ندارد. تا موقعی که مایکروسافت این مشکل را حل نکند، سازمان‌هایی که از ماشین‌های مجازی لینوکس روی آزور استفاده می‌کنند باید دست به کار شوند.

آسیب‌پذیری‌هایی داخل OMI و نحوه اکسپلویت مهاجمین

در رویداد Patch Tuesday سپتامبر سال جاری، مایکروسافت آپدیت‌های امنیتی را برای چهار آسیب‌پذیری در عامل Open Management Infrastructure منتشر کرد. یکی از آن‌ها که CVE-2021-38647 است اجازه اجرای کد ریموت را می‌دهد و این آسیب‌پذیری بسیار هم مهم است؛ بقیه نیز عبارتند از CVE-2021-38648، CVE-2021-38645 و CVE-2021-38649 که می‌توانند در حملات چند مرحله‌ای زمانیکه مهاجمین زودتر به شبکه قربانی نفوذ کرده‌اند برای ارتقای مزیت مورد استفاده قرار گیرند. این سه آسیب‌پذیری روی CVSS رتبه‌بندی بالایی را به خود اختصاص دادند. وقتی کاربران مایکروسافت آزور یک ماشین مجازی لینوکس درست می‌کنند و سری‌هایی از سرویس‌ها را فعالسازی می‌نمایند، OMI–آسیب‌پذیری‌ها و همه- به طور خودکار در سیستم به کار گرفته می‌شود. این سرویس‌ها عبارتند از Azure Automation، Azure Automatic Update، Azure Operations Management Suite، Azure Log Analytics، Azure Log Analytics و Azure Diagnostics که البته این لیست کاملِ کامل هم نیست. عامل Open Management Infrastructure به خودی خود در سیستم بالاترین مزایاها را دارد و چون تسک‌هایس شامل جمع‌آوری آمار و سینک کردن تنظیمات می‌شود عموماً می‌شد از طریق چندین پورت http–بسته به سرویس‌های فعالسازی‌شده- از اینترنت قابل‌دسترسی باشد. برای مثال اگر درگاه شنود 5986 باشد، مهاجمین می‌توانند بالقوه آسیب‌پذیری CVE-2021-38647 را اکسپلویت کنند و از راه دور کد مخرب را اجرا نمایند. اگر OMI برای مدیریت ریموت موجود باشد (از طریق پورت 5986، 5985 یا 1270) بیگانگان می‌توانند همان آسیب‌پذیری را برای دسترسی داشتن به کل شبکه در حوالی آزور اکسپلویت کنند. متخصصین می‌گویند این آسیب‌پذیری را خیلی راحت می‌شود اکسپلویت کرد.

این حتی حادتر هم هست. RCE ساده‌ترین REC است که می‌شود در ذهن تصور کرد. اگر فقط هدر نویسنده را حذف کنید دیگر روت می‌شوید. از راه دور. روی همه ماشین‌ها. آیا اصلا ما در 2021 زندگی می‌کنیم؟ pic.twitter.com/iIHNyqgew4

-         آمی لوتواک (@amiluttwak) 14 سپتامبر 2021.

تا کنون هیچ حمله محیط بیرونی گزارش نشده اما با توجه به حجم اطلاعات موجود راحت می‌شود این آسیب‌پذیری‌ها را اکسپلویت کرد.

راهکار امنیتی

مایکروسافت پچ‌هایی برای هر چهارتای این آسیب‌پذیری‌ها منتشر کرده است. با این حال OMI همیشه هم به طور خودکار آپدیت نمی‌شد پس باید چک کنید ببینید کدام نسخه روی ماشین مجازی لینوکس شما به کار گرفته شده است. اگر قدیمی‌تر از 1.6.8.1 باشد، عامل Open Management Infrastructure خود را آپدیت کنید. متخصصین همچنین توصیه می‌کنند دسترسی شبکه به پورت‌های 5985، 5986 و 1270 را محدود کنید تا هیچکس نتواند RCE را اجرا کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.