Компания Microsoft устранила четыре критические уязвимости, носящие общее название OMIGOD. Проблемы были найдены в Open Management Infrastructure (OMI), который незаметно и автоматически устанавливается на виртуальные машины Azure Linux (более половины всех экземпляров Azure).

Проблемы OMIGOD были устранены в OMI версии 1.6.8.1, но в приложении нет механизма автоматического обновления, поэтому большинство виртуальных машин Azure Linux останутся уязвимыми до тех пор, пока обновление не будет установлено вручную.

Open Management Infrastructure представляет собой Linux-эквивалент Microsoft Windows Management Infrastructure (WMI), службы, которая собирает данные из локальных сред и синхронизирует их с центральным управляющим сервером. Большинство клиентов Azure даже не знают, что Microsoft незаметно устанавливает OMI на все виртуальные машины Azure Linux. Более того, клиент OMI работает с привилегиями root.

В состав OMIGOD входят следующие уязвимости:

  • CVE-2021-38647 — RCE без аутентификации с  root-правами (9,8 балла по шкале CVSS);
  • CVE-2021-38648 — уязвимость, связанная с повышением привилегий (7,8 балла по шкале CVSS);
  • CVE-2021-38645 —  уязвимость, связанная с повышением привилегий (7,8 балла по шкале CVSS);
  • CVE-2021-38649 — уязвимость, связанная с повышением привилегий (7 баллов по шкале CVSS).

Как нетрудно догадаться, наиболее серьезной из четырех проблем является CVE-2021-38647, которая позволяет злоумышленнику захватить виртуальную машину, просто отправив специально сформированный пакет. Хуже того, оказавшись внутри сети, злоумышленник может повторить атаку на другие системы и продолжать вплоть до полной компрометации сети.

«Это хрестоматийная RCE-уязвимость, которую можно было бы найти в 90-х. Крайне необычно, что в 2021 году появилась такая уязвимость, которая может [поставить под удар] миллионы эндпоинтов, — пишут эксперты компании Wiz, обнаружившие проблемы. — С помощью всего одного пакета злоумышленник может стать root-пользователем на удаленной машине, просто удалив аутентификационный хэдер. Всё действительно настолько просто».

Исследователи отмечают, что порты, через которые можно эксплуатировать эту ошибку, к счастью, не «видны» в интернете по умолчанию.

«Если у вас есть OMI, прослушивающий порты 5985, 5986, 1270, мы рекомендуем немедленно ограничить сетевой доступ к этим портам, чтобы защититься от уязвимости (CVE-2021-38647)», — гласит заявление Wiz.

Увы, если эти порты недоступны, атакующий все равно может злоупотребить тремя другими ошибками OMIGOD, обманом вынудив пользователя Azure открыть вредоносный файл, что в итоге позволит коду злоумышленника получить root-доступ.

Но самой плохой новостью в данной ситуации является уже упомянутое отсутствие у OMI механизма для автоматического обновления. Дело в том, что большинство пользователей вообще не знают о существовании OMI, а его работа невидима для них, поэтому обновлять его вручную они тоже явно не станут. Между тем, OMI устанавливается и включается при активации любого из нижеперечисленных инструментов и сервисов:

  • Azure Automation;
  • Azure Automatic Update;
  • Azure Operations Management Suite (OMS);
  • Azure Log Analytics;
  • Azure Configuration Management;
  • Azure Diagnostics.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии