Le vulnerabilità di Open Management Infrastructure minacciano i dispositivi virtuali Linux su Microsoft Azure

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 20/09/2021
 
 

L’agente Open Management Infrastructure, che contiene quattro vulnerabilità, viene installato automaticamente sulle macchine Linux virtuali su Microsoft Azure

 

 
 
 

È emersa la notizia di una pratica piuttosto pericolosa in Microsoft Azure, secondo la quale quando un utente crea una macchina virtuale Linux e abilita alcuni servizi Azure, la piattaforma Azure installa automaticamente l’agente Open Management Infrastructure (OMI) sul dispositivo, senza che l’utente se ne accorga.

Anche se un’installazione “furtiva” potrebbe sembrare una cattiva idea a priori, in realtà non sarebbe così male se non fosse per due problemi: in primo luogo, l’agente ha vulnerabilità note e, in secondo luogo, non ha un meccanismo di aggiornamento automatico su Azure. Finché Microsoft non risolverà questo problema, le aziende che utilizzano dispositivi virtuali Linux su Azure dovranno prendere provvedimenti.

Vulnerabilità nell’infrastruttura di Open Management e come possono essere sfruttate dai cybercriminali

Nel Patch Tuesday di settembre, Microsoft ha rilasciato aggiornamenti di sicurezza per quattro vulnerabilità presenti nell’agente Open Management Infrastructure. Una di esse, CVE-2021-38647, permette l’esecuzione di un codice da remoto (RCE) ed è critica, mentre le altre tre, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649, possono essere utilizzate per ottenere  maggiori privilegi  di accesso (LPE – Local Privilege Escalation) in attacchi multifase. Ciò è possibile nel caso in cui i criminali informatici si siano intrufolati previamente nella rete della vittima. Queste tre vulnerabilità hanno un punteggio elevato nel CVSS.

Quando gli utenti di Microsoft Azure creano una macchina virtuale Linux e abilitano una serie di servizi, OMI (e le sue vulnerabilità) si distribuisce automaticamente nel sistema. I servizi includono Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, un elenco che purtroppo è tutt’altro che completo. L’agente Open Management Infrastructure da solo ha i privilegi più alti nel sistema, e poiché i suoi compiti includono la raccolta di statistiche e la sincronizzazione delle configurazioni, è generalmente accessibile da Internet attraverso varie porte HTTP, a seconda dei servizi abilitati.

Per esempio, se la porta di ascolto è la 5986, i cybercriminali potrebbero potenzialmente sfruttare la vulnerabilità CVE-2021-38647 ed eseguire un codice dannoso da remoto. Se OMI è disponibile per la gestione remota (attraverso le porte 5986, 5985, o 1270), i cybercriminali possono sfruttare la stessa vulnerabilità per ottenere l’accesso all’intera rete locale in Azure. Gli esperti sostengono che la vulnerabilità sia molto facile da sfruttare.

 

 

Finora non sono stati segnalati attacchi in the wild, ma con le tante informazioni disponibili su come potrebbe essere facile sfruttare queste vulnerabilità, probabilmente non ci vorrà molto.

Come difendersi

Microsoft ha rilasciato delle patch per tutte e quattro le vulnerabilità. Tuttavia, OMI non si aggiorna sempre automaticamente, quindi dovrete controllare quale versione è presente sulla vostra macchina virtuale Linux. Se la versione è precedente alla 1.6.8.1, aggiornate l’agente Open Management Infrastructure. Per sapere come, potete consultare la descrizione della vulnerabilità CVE-2021-38647.

Gli esperti raccomandano anche di limitare l’accesso alla rete alle porte 5985, 5986 e 1270 per impedire a chiunque di eseguire attacch di esecuzione del codice da remoto (RCE, Remote Code Execution).

21 Settembre 2021

Veeam Backup & Replication è ora in grado di eseguire il backup nativo dell’ambiente Azure

Tratto da Blog Veeam
Autore: David Hill – 12/04/2021
 

Veeam Backup for Microsoft Azure consente la creazione completamente automatizzata di snapshot e backup nativi delle macchine virtuali (VM) di Microsoft Azure, incluso l’offload di tali macchine nello storage Azure Blob per una maggiore efficienza dei costi nel cloud.  Il ripristino è altrettanto potente e offre le funzionalità per eseguire opzioni di ripristino a livello di file o completo all’interno di Azure oppure all’esterno su qualsiasi altra piattaforma supportata. L’appliance può essere facilmente implementata direttamente da Azure Marketplace in pochi minuti. Questo rimane valido anche per la versione 2, ma per chi utilizza ambienti ibridi protetti da Veeam, questa appliance può ora essere implementata e gestita direttamente da Veeam Backup & Replication.

Backup nativo di Azure con Veeam Backup & Replication

Veeam Backup & Replication supporta diverse piattaforme ed ora è estremamente facile aggiungere un ambiente Microsoft Azure nella console. Questa nuova integrazione consente di proteggere e ripristinare facilmente in modo nativo i carichi di lavoro di Microsoft Azure con la stessa console Veeam Backup & Replication che viene utilizzata per tutti gli altri job.

 

 

Per la configurazione iniziale si hanno a disposizione due opzioni: 1) la connessione a un’appliance di Veeam Backup for Microsoft Azure già esistente (già implementata) oppure 2) implementarne una nuova. Una volta completati i pochi passaggi necessari per la connessione, tutte le policy di backup e i backup possono essere gestiti direttamente all’interno di Veeam Backup & Replication.

 

 

Snapshot, backup e ripristini vengono tutti gestiti direttamente tramite la console di Veeam Backup & Replication. Grazie alle integrazioni di Veeam Backup & Replication, non si è neppure limitati al ripristino in Azure, poiché è possibile anche eseguirlo su qualsiasi piattaforma supportata, inclusi altri provider cloud. Questa nuova integrazione si basa sulla strategia di Cloud Data Management di Veeam, che consente di proteggere adeguatamente i dati alla sorgente, spostarli dove serve e quando serve, oltre a proteggerli adeguatamente a destinazione, il tutto da un unico piano di controllo.

 

 

 

Tiering nello storage Azure Blob ad accesso frequente o infrequente

Sebbene a volte sia facile pensare di utilizzare gli snapshot esclusivamente a scopo di backup, è importante considerare anche i requisiti di retention dei dati. Con Veeam Backup for Microsoft Azure, i backup possono essere eseguiti e scaricati nello storage Microsoft Blob per la retention dei dati a basso costo e a lungo termine. Lo storage Microsoft Azure Blob offre diversi livelli per diversi casi d’uso, che generalmente sono incentrati sulla frequenza di accesso ai dati.

Veeam Backup for Microsoft Azure ora supporta il tier di storage infrequente di Azure Blob (oltre al tier ad accesso frequente già supportato), consentendo di includere i requisiti di costo rispetto alla frequenza in qualsiasi policy di backup. Per i requisiti di storage dei dati a lungo termine che intendono soddisfare le raccomandazioni di conformità, è possibile utilizzare lo storage ad accesso infrequente, con l’aspettativa che i dati rimangano sul posto per più di 30 giorni. Lo storage ad accesso frequente viene invece generalmente utilizzato per archiviare i dati a cui si accede frequentemente e che vengono eliminati regolarmente.  Con l’introduzione del supporto per entrambi questi livelli, Veeam Backup for Microsoft Azure fornisce le funzionalità per creare una vera policy di protezione dei dati per il ripristino rapido o la retention dei dati a lungo termine, il tutto controllando le spese del cloud.

 

 

Consistenza a livello applicativo

L’esecuzione di backup è sempre fondamentale per proteggere i dati, ma è altrettanto importante assicurarsi che i dati di backup siano coerenti. L’ultima release di Veeam Backup for Microsoft Azure consente di definire policy di backup per acquisire snapshot application-aware per VM Microsoft Windows o eseguire script di backup pre e post-job per VM Microsoft Windows o Linux.

 

 

Questa modalità offre una maggiore coerenza durante la protezione dei carichi di lavoro, come ad esempio i database in esecuzione. È possibile eseguire degli script per arrestare il database prima di eseguire un backup e riportarlo online dopo il backup.

 

Procedura guidata per le policy migliorata

Insieme a tutte le nuove capacità introdotte in Veeam Backup for Microsoft Azure, è stata inclusa una procedura guidata per la creazione delle policy migliorata, per un utilizzo più ottimizzato. La procedura guidata per la creazione delle policy introduce funzionalità incentrate sulla pianificazione armonizzata, consentendo di scegliere opzioni giornaliere, settimanali, mensili e annuali, oltre a poter selezionare diversi repository di backup per la pianificazione.

16 Aprile 2021

Licenze Veeam V11: cosa cambia

Tratto da Blog Veeam
Autore: Chris Spencer – 01/04/2021
 
I vantaggi della V11 includono protezione infallibile dal ransomware, maggiore sicurezza, Continuous Data Protection (CDP), maggiore portabilità nel cloud e opzioni di backup native per il cloud in AWS, Microsoft Azure e molto altro.
 
 
 

Cosa c’è da sapere sulla V11?

La buona notizia a proposito della V11 è che la maggior parte degli utenti non necessiterà di un nuovo file di licenza. Questo file era richiesto nelle precedenti release più importanti, tuttavia il nuovo formato di file di licenza introdotto con la V10 non lo richiede più. E’ possibile quindi installare o eseguire l’upgrade alla V11 con il file di licenza esistente. E se si sta effettuando l’upgrade alla V11 dalle versioni precedenti, il programma di configurazione proporrà di scaricare automaticamente il file di licenza.

La VUL è ricca di funzionalità

La VUL (Veeam Universal License) continua a ricevere tutte le funzionalità disponibili di Veeam Backup & Replication e Veeam Availability Suite, con un’opzione di licenza trasportabile per l’utilizzo on-premises, nel cloud pubblico e negli ambienti ibridi e multi-cloud. Ciò include la protezione per tutti i seguenti carichi di lavoro:

  • Tutti gli hypervisor supportati : VMware vSphere, Microsoft Hyper-V e Nutanix AHV
  • Tutti i sistemi operativi supportati: Microsoft Windows, Linux, Mac, Oracle Solaris e IBM AIX
  • Carichi di lavoro nativi nel cloud: AWS e Microsoft Azure
  • Applicazioni enterprise: SAP HANA e Oracle (incluso AIX)
  • Protezione delle condivisioni di file NAS e dei dati non strutturati

Ci sono inoltre alcune nuove funzionalità della V11 che richiedono la VUL oppure l’edizione Enterprise Plus di una licenza basata su socket:

  • Continuous Data Protection per le VM VMware vSphere
  • Archiviazione su Amazon S3 Glacier e Azure Blob Storage Archive Tier.

 

 

Protezione di AWS e Azure nativa in cloud

Le nuove funzionalità contenute nella licenza VUL includono la possibilità di gestire backup e ripristino dei carichi di lavoro nativi nel cloud che risiedono su AWS, con Veeam Backup for AWS v3, e ora su Microsoft Azure, con il nuovo Veeam Backup for Microsoft Azure v2. Queste integrazioni supportano la protezione delle istanze AWS EC2, RDS e molto altro, una funzione disponibile nella V10 da luglio, mentre le funzionalità più recenti includono l’integrazione per Microsoft Azure v2. Ora è possibile proteggere i carichi AWS e Azure nativi nel cloud anche con la licenza VUL.

Doppio NAS

Dopo avere eseguito l’upgrade alla V11, ciascuna licenza VUL inizierà immediatamente a proteggere 500 GB di dati NAS non strutturati, anziché 250 GB, ovvero il doppio dei dati con lo stesso numero di licenze.  L’offerta di Veeam Backup & Replication V10, per la quale erano stati resi gratuiti i primi 250 GB da proteggere in ciascuna condivisione, è ancora valida, ma ora viene ampliata a 500 GB, consentendo di eseguire il backup dei file più importanti in un formato diverso, senza alcun costo aggiuntivo, dai server già protetti con i backup a livello immagine.

Veeam CDP senza alcun costo aggiuntivo

Per la strategia di disaster recovery non bisogna scegliere tra backup e CDP. Veeam offre entrambi nel prodotto. Grazie alle opzioni per proxy fisico o virtuale, all’affidabile replica asincrona e all’assenza di limiti di distanza fisica, il CPD di Veeam rappresenta un’ottima soluzione per la strategia di DR dei carichi di lavoro Tier 1.

Orchestrazione del DR

Parlando di DR, le funzionalità CDP di Veeam Backup & Replication sono estese a Veeam ONE per il monitoraggio, così come a Veeam Disaster Recovery Orchestrator per l’automazione della strategia di test e ripristino del sito. Cos’è Veeam DR Orchestrator? Per sfruttare i vantaggi offerti dal CDP ai fini del DR, è stato rinominato Veeam Availability Orchestrator, che ora, nella release v4, si chiama Veeam Disaster Recovery Orchestrator.  Rimangono in essere tutte le stesse caratteristiche e funzionalità, cambia solo il nome. Nella release v4 di questo prodotto, è stata introdotta la possibilità di orchestrare anche le repliche CDP, dando vita a un insieme completo di funzionalità di DR: protezione, monitoraggio e orchestrazione. Il DR Orchestrator v4 è offerto in licenza con il DR Pack, acquistabile in pacchetti da 10 e corrispondente al numero di licenze VUL presenti nell’ambiente.

VUL: non è solo in abbonamento

La licenza VUL può essere acquistata sotto forma di abbonamento oppure di licenza perpetua. La licenza VUL perpetua offre le stesse caratteristiche, funzionalità e portabilità, ad un prezzo competitivo in un modello CapEx perpetuo, con la struttura di supporto e manutenzione continua annuale.

Per ulteriori informazioni: dircom@argonavis.it

7 Aprile 2021