با وجود رفع مشکلات مایکروسافت ، مهاجمان از نقص OMIGOD در Azure سوء استفاده می کنند

مجرمان سایبری سرورهای مبتنی بر لینوکس را اجرا می کنند که از محیط ابری عمومی Microsoft Azure مایکروسافت استفاده می کنند و در معرض نقص هستند پس از اینکه مایکروسافت به طور خودکار وصله ای را بر روی مشتریان آسیب دیده در زیرساخت خود اعمال نکرد.

به گفته شرکت امنیت سایبری Recorded Future ، حملات شروع شد شب 16 سپتامبر پس از سوء استفاده از اثبات مفهوم در اوایل روز در GitHub منتشر شد. Recorded Future با استناد به اطلاعات فروشنده اطلاعات تهدید GreyNoise اشاره کرد که حدود 10 سرور مخرب در اینترنت در حال جستجو برای سیستم های آسیب پذیر هستند ، و در حالی که جستجو شروع به کند شدن کرد ، اکنون تا صبح بیش از 100 سایت را افزایش داده است. ، محققان Cado Security در یک پست وبلاگ همچنین به یک توییت از محقق امنیت سایبری آلمان فرناندز اشاره کردند که متوجه شد بات نت بدنام DDoS Mirai – معروف به استفاده از وسایل ناامن اینترنت اشیاء (IoT) – نیز مورد سوء استفاده قرار می گیرد. OMIGOD Mirai در حال قرار دادن یک نسخه از بات نت در یک سیستم و سپس بستن درگاه 5896 OMI SSL است و اساسا دیگران را از سوء استفاده از همان جعبه منع می کند. از جمله OMIGOD.

استوارت وینتر تیر ، مدیر استراتژی سازنده راه حل های تهدید ساز ThreatModeler ، گفت: "مسابقه در راه است" به eSecurity Planet گفت. "از آنجایی که این امر در حال حاضر به طور فعال اسکن شده و به صورت خودکار از طریق بات نت مورد استفاده قرار می گیرد و ما می دانیم که امکان اجرای کد از راه دور با امتیاز root وجود دارد ، هر پورت OMI باز باید در اسرع وقت بسته شود و دستورالعمل های کاهش Azure باید

تعداد زیادی از سرورهای لینوکس آسیب پذیر هستند

محققان امنیتی از راه اندازی امنیت سایبری Wiz آسیب پذیری های روز صفر را شناسایی کردند-که آنها آنها را OMIGOD نامیدند "زیرا وقتی ما آنها را کشف کردیم این واکنش ما بود." اوفلد در یک پست وبلاگ نوشت-و یافته های خود را در 14 سپتامبر منتشر کرد.

هزاران مشتری Azure و میلیون ها نقطه پایانی تحت تأثیر نقص ها قرار می گیرند

این نقص ها شامل CVE-2021-38647 است ، که یک اشکال اجرای کد از راه دور است. ، و سه آسیب پذیری تشدید ممتاز: CVE-2021-8648 ، CVE-2021-38645 و CVE-2021-38649. اوفلد نوشت که محققان برآوردی محافظه کارانه ارائه دادند که نشان می دهد هزاران مشتری Azure و میلیون ها نقطه پایانی تحت تأثیر این نقص ها قرار دارند. و دریافت که بیش از 65 درصد از آنها ناخودآگاه در خطر هستند. یکی از بزرگترین چالش ها در جلوگیری از آنها شفاف نبودن زنجیره تامین دیجیتال ما است. اگر نمی دانید چه چیزی در خدمات و محصولاتی که هر روز استفاده می کنید پنهان است ، چگونه می توانید خطر را مدیریت کنید؟ » اوفلد نوشت: این آسیب پذیری ها خطر عرضه زنجیره هایی را که کد منبع باز نشان می دهد ، به ویژه برای سازمان هایی که از خدمات رایانش ابری استفاده می کنند ، مورد توجه قرار می دهد.

مطالعه بیشتر: امنیت منبع باز: یک مشکل بزرگ

عامل OMI در مرکز OMIGOD

با OMIGOD ، این یک برنامه نسبتاً ناشناخته به نام Open Management Infrastructure (OMI) است که در بسیاری از خدمات Azure تعبیه شده است. مایکروسافت پروژه OMI منبع باز را با همکاری The Open Group حمایت می کند. اوفلد OMI را زیرساخت مدیریت ویندوز (WMI) برای سیستم های یونیکس و لینوکس توصیف کرد و لینوکس سیستم عامل غالب در Azure است.

از طریق OMI ، سازمانها می توانند آمار و تنظیمات را در محیط Azure خود جمع آوری کرده و توسط سرویس های Azure مانند مجموعه مدیریت باز ، Azure Insights و Azure Automation.

"هنگامی که کاربران هر یک از این خدمات محبوب را فعال می کنند ، OMI بی صدا روی ماشین مجازی آنها نصب می شود و با بالاترین امتیاز ممکن اجرا می شود." "این بدون رضایت یا اطلاع صریح مشتریان اتفاق می افتد. کاربران به سادگی روی موافقت با ورود مجموعه در حین راه اندازی کلیک می کنند و آنها ناخودآگاه شرکت کرده اند. از آنجا که Azure تقریبا هیچ سند عمومی در مورد OMI ارائه نمی دهد ، اکثر مشتریان هرگز در مورد آن چیزی نشنیده اند و نمی دانند که این سطح حمله در محیط آنها وجود دارد. "

از راه دور اجرای کد جدی ترین نقص است

عامل OMI به عنوان یک ریشه با بالاترین امتیاز عمل می کند و هر کاربر می تواند با آن با استفاده از سوکت یونیکس یا از طریق API HTTP با آن ارتباط برقرار کند ، هنگامی که پیکربندی شده است تا دسترسی خارجی امکان پذیر باشد. سه آسیب پذیری با قابلیت افزایش امتیاز به بازیگران بد اجازه می دهد کنترل سرورها را به دست آورند. با این حال ، آسیب پذیری در اجرای کد از راه دور جدی ترین نقصی است که درگاه های OMI در اینترنت قابل دسترسی هستند.

"این آسیب پذیری همچنین می تواند توسط مهاجمان برای دسترسی اولیه به محیط مورد نظر Azure مورد استفاده قرار گیرد و سپس به صورت جانبی در آن حرکت کند." اوهفلد در وبلاگ فنی دیگری نوشت. "بنابراین ، یک درگاه HTTPS در معرض دید مقدس برای مهاجمان مخرب است. آنها با یک بهره برداری ساده می توانند به اهداف جدید دسترسی پیدا کنند ، فرمانها را با بالاترین امتیازات اجرا کرده و احتمالاً به ماشینهای جدید جدید نیز سرایت کنند. " در GitHub ، اما به طور خودکار به روزرسانی را بر روی کلاینت های OMI در زیرساخت خود نصب نکرده است ، و اساساً ده ها هزار سرور را آسیب پذیر کرده است. شرکت همچنین سه روز طول کشید تا نسخه مشتری OMI را در داخل تصاویر VM Azure Linux جایگزین کند. اگر سوء استفاده نشود ، نرم افزار ایمن است

Wiz's Ohfeld نوشت که با وجود این آسیب پذیری ها ، نرم افزارهای منبع باز مورد استفاده توسط جامعه توسط هزاران متخصص بررسی می شود و از امنیت بیشتری نسبت به نرم افزارهای اختصاصی برخوردار است ، اگرچه در صورت سوء استفاده می تواند به یک خطر تبدیل شود.

"یکی از مزایای منبع باز این است که برای توسعه دهندگان آسان است که از پروژه های مختلف کد بگیرند و آن را با سایر نرم افزارهای منبع باز و اختصاصی ترکیب کنند." "در نتیجه ، کد منبع باز بد می تواند در طیف وسیعی از محصولات و خدمات ایجاد شود-ناخواسته تبدیل به" نقطه شکست "می شود. زیرا مشتریان نمی دانند چه کد رمز عاملی در پس زمینه خدمات در حال اجرا است. آنها استفاده می کنند ، در معرض خطر و ناآگاه باقی می مانند. "

تایلر شیلدز ، مدیر ارشد بازاریابی در JupiterOne ، فروشنده امنیت ، گفت که یافتن چنین آسیب پذیری اساسی در عملکرد مدیریت یک ارائه دهنده خدمات ابری بسیار مهم است.

" برای درک مواجهه آنها با این آسیب پذیری ، شرکتها باید بدانند کدام دارایی ها عملکرد مدیریت OMI را فعال کرده اند و اطمینان حاصل می کنند که هیچ چیز مستقیماً در معرض اینترنت قرار نمی گیرد. " "ممکن است فرض کنید که دو یا سه لایه فایروال از این دارایی ها محافظت می کند ، اما متأسفانه ، روابط اعتماد گذرا بین دارایی ها می تواند به طور تصادفی مسیری ایجاد کند که مهاجم می تواند از آن سوء استفاده کند. یک ابزار اندازه گیری سطح حمله مبتنی بر ابر که دارایی ها را در نمودار رابطه متصل می کند ، به سرعت به شما اطلاع می دهد که آیا هر یک از این موارد در واقع نشان داده شده اند یا خیر. "

Risk-Reward in Cloud Security

سناریو OMIGOD خطر را برجسته می کند به گفته یانیف بار-دیان ، بنیانگذار و مدیرعامل شرکت امنیت سایبری Vulcan Cyber ​​، تجارت خارجی خدمات ابری.

"تیم های امنیتی فناوری اطلاعات به ارائه دهندگان ابر مانند Azure برای ارائه خدمات امن و در صورت بروز اشکال اعتماد می کنند. یا آسیب پذیری ، برای برداشتن اقدامات فوری برای کاهش خطر ، "بار-دیان به eSecurity Planet گفت. تقریباً در همه موارد ، ارائه دهندگان خدمات ابری که ما از آنها استفاده می کنیم آسیب پذیری های موجود در خدمات آنها را قبل از اینکه در مقیاس بزرگ مورد سوء استفاده قرار گیرند ، برطرف می کنند. معمولاً مجموعه ای از آسیب پذیری ها لازم است که توسط فروشندگان و کاربران بدون توجه به آنها باقی بماند تا یک تهدید مداوم پیشرفته موفقیت آمیز باشد. با این حال ، این امر در مورد خدمات ابری صدق نمی کند زیرا ارائه دهندگانی مانند مایکروسافت و خدمات وب آمازون (AWS) در مورد اطمینان از پاک بودن محصولات خود از مسائل امنیت سایبری بسیار فعال هستند.

"خطر واقعی در امنیت ابر ناشی از این واقعیت است که 95 درصد از همه نقض های امنیتی ابر به دلیل خطای کاربر و پیکربندی اشتباه کاربران سرویس ابری است. " "ما از مصرف کنندگان سازمانی خدمات ابری درخواست می کنیم که امنیت سرویس هایی را که مصرف می کنند در اولویت اول قرار دهند و به عنوان ارائه دهندگان خدمات ابری در تلاش برای کاهش بی پایان خود پیشقدم باشند."

Wiz's Ohfeld اشاره کرد که OMI تنها یکی است نمونه ای از یک عامل نرم افزاری نسبتاً ناشناخته که از قبل نصب شده و بی سر و صدا در محیط های ابری مستقر شده است و این عوامل در AWS و Google Cloud Platform و Azure قرار دارند. با امتیازات بالا در محیط های ابری ، به ویژه در میان مشتریان Azure که در حال حاضر در معرض خطر هستند تا آخرین نسخه OMI به روز شود. "ما از جامعه تحقیقاتی می خواهیم که حسابرسی OMI را ادامه داده و مسائلی را که ممکن است با عوامل مشابه پیدا کنند ، گزارش دهد."



نمایش راه راه نقص اینجا چرا آنها رخ می دهد

 راه راه بر روی صفحه نمایش گوشی Xperia نیست. سونی tweakers

  • پاسخ داده اند پس از گزارش صاحبان گوشی عجیب راه راه بر روی صفحه نمایش خود را ظاهر می شود.
  • شرکت ژاپنی ادعا می کند که آن را به سادگی برای تخلیه الکترواستاتیکی به جای نقص مقاصدشان مربوط است.
  • به نظر می رسد این مسئله تاثیر XZ1 XZ2 Xperia فشرده و جمع و جور XZ2.

به نظر می رسد مانند سونی دایالر XZ1 XZ2 جور و صاحبان ادعا با راه راه عجیب در صفحه نمایش خود را داشته اند. شرکت ژاپنی در حال حاضر ارائه شده توضیح به Tweakers (h/تی: وبلاگ Xperia )، ادعا نمایش راه راه واقع نقص نیست.

هنگامی که کاربران اغلب مالیدن یا لمس صفحه نمایش خود را پس از مدت کوتاهی ناپدید راه راه گزارش ظاهر می شود. با این حال، به اندازه کافی مانع است که برخی از کاربران به انجمن سونی موبایل گزارش موضوع گرفته شده است.

تست توسط Tweakers نشان می دهد که XZ1 XZ2 XZ2 کامپکت جمع و جور و متاثر از این مسئله هستند. دایالر X و XZ حق بیمه از الگوها، رنج می برند با این حال به نظر نمی رسد.

در بیانیه ای دو Tweakers ، سونی می گوید نمایش راه راه نیست در واقع نقص اما با توجه به “برق” در برخی دستگاه ها رخ می دهد.

“به علت ویژگی صفحه نمایش طرح های راه راه در برخی از مدل ها با توجه به اثرات الکترواستاتیک ممکن است دیده شود. نقص عملکردی ندارد و معمولا ناپدید می شوند الگوهای وقتی الکترواستاتیک ناپدید، “نسخه ترجمه شده ماشینی سونی بیانیه را بخوانید.

سونی نشان داده است که آیا غرامت به کاربران متاثر از نمایش راه راه doled شود خواهد شد. با این حال، در این مرحله شرکت به کاربران گرفتن این مسئله در گشاد گشاد راه رفتن خود را در بانکی به نظر می رسد.

گوشی سونی از صفحه راه راه رنج می برند؟ مسئله overblown است؟ ما در بخش نظرات اطلاع دهید!

OnePlus 6 نقص امنیتی اجازه می دهد تا هر کسی به دور زدن آن بوت لودر قفل شده است اما ثابت در راه

 تصویر OnePlus 6 را در دست چپ او را با صفحه نمایش در برگزار است.

  • یک محقق امنیتی کشف آسیب پذیری در OnePlus 6 اجازه می دهد تا شما بوت لودر را به گوشی قفل شده با هر تصویر تغییر بوت دور زدن.
  • شما نیاز به دسترسی فیزیکی به تلفن بهره برداری از آسیب پذیری.
  • OnePlus آسیب پذیری را تایید کرد و گفت: آن را هل داد کردن بروز رسانی نرم افزار برای حل این مشکل.

XDA توسعه دهندگان به گزارش OnePlus 6 ممکن است که جایگزینی پیکسل HD کامل, اما همچنین ویژگی های نقص امنیتی جدی است که خوشبختانه در بروز رسانی نرم افزار ثابت خواهد شد.

با توجه به لبه LLC امنیتی رئیس جمهور و عضو فروم XDA توسعه دهندگان Donenfeld جیسون OnePlus 6 ویژگی های آسیب پذیری است که اجازه او دور زدن قفل شده بوت لودر با هر تصویر تغییر بوت. حتی عجیب و غریبتر این، Donenfeld چرا باید به نوبه خود در اشکال زدایی USB. می آید به اطراف messing با گوشی های هوشمند خود را که معمولا مورد نیاز است.

پلیس اندیشه آسیب پذیری تأیید شده و قادر به بوت TWRP در بوت لودر خود قفل شده است و OnePlus 6. آن نیز اشاره کرد که مردم می تواند سهام OnePlus 6 تصویر بوت شامل دسترسی ریشه و ADB نا امن است که می تواند حمله به دست آوردن کنترل کامل دستگاه اگر آنها می خواستند را اجازه می دهد را تغییر دهید.

خبر خوب این است که کسی که نیاز به دسترسی فیزیکی به 6 OnePlus خود را به استفاده از بهره برداری. آنها سپس می گوشی را به کامپیوتر وصل، راه اندازی مجدد گوشی را به حالت fastboot, و انتقال هر تصویر دلخواه و یا تغییر بوت.

خبر خوب: OnePlus درباره آسیب پذیری می داند و گفت آن را در تماس با Donenfeld است. OnePlus نیز تایید کرد که یک بروز رسانی نرم افزار “مدت کوتاهی.” رول خواهد شد

این نظارت جدی بر حزب OnePlus’ هر چند هست. شرکت خود را در آب داغ بیش از حوادث امنیتی است که برنامه EngineerMode و برنامه اطلاعات کارت اعتباری FactoryMode صندلی فرود آمد. در اینجا این است که امیدوار است که نرم افزار به روز رسانی بیش از حد طولانی کردن را.