TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Microsoft ประกาศออก Patch มาเพื่อแก้ไขช่องโหว่ที่เกิดขึ้นบน Azure Red Hat Enterprise Linux (RHEL) Instance ทั้งหมด
Ian Duffy ได้ค้นพบช่องโหว่ของ RHEL Instance บน Microsoft Azure จากข้อมูลของ Script ที่ติดตั้้งอยู่บน RHEL Instance ทุกเครื่อง โดยภายใน Script นั้นได้มีข้อมูลการเข้าถึง RHEL Instance ผ่านทาง REST API over HTTPS และนำไไปสู่การเชื่อมต่อ Azure Red Hat Update Appliance ได้ด้วยสิทธิ์การบริหารจัดการระดับสูงสุด และทำให้ Azure RHEL Image ทั้งหมดที่ไม่ได้ทำการตั้งค่าการตรวจสอบ GPG Validation Check เอาไว้จะถูกโจมตีด้วยการส่ง Package Update ที่ปลอมแปลงเข้าไปได้เมื่อเครื่องต่างๆ เหล่านั้นสั่ง yum update
ปัจจุบันทาง Microsoft ได้รับทราบถึงช่องโหว่นี้แล้ว และทำการแก้ไขเรียบร้อย
นอกจากนี้ยังมีอีกช่องโหว่หนึ่งที่ Ian Duffy ได้ไปค้นพบ API Key สำรหับใช้ในการ Debug บน Microsoft Azure Linux Agent (WaLinuxAgent) ซึ่งเปิดให้ผู้โจมตีสามารถโหลด Virtual Hard Disk ของเครื่อง RHEL ใดๆ ก็ได้ใน Storage Account เดียวกันมา และแจ้งไปยังทาง Microsoft แล้ว
จากการค้นพบช่องโหว่เหล่านี้ Ian Duffy ได้รับเงินรางวัลมาทั้งสิ้น 3,500 เหรียญหรือราวๆ 122,500 บาท
