Компания Microsoft устранила четыре критические уязвимости, носящие общее название OMIGOD. Проблемы были найдены в Open Management Infrastructure (OMI), который незаметно и автоматически устанавливается на виртуальные машины Azure Linux (более половины всех экземпляров Azure).
Проблемы OMIGOD были устранены в OMI версии 1.6.8.1, но в приложении нет механизма автоматического обновления, поэтому большинство виртуальных машин Azure Linux останутся уязвимыми до тех пор, пока обновление не будет установлено вручную.
Open Management Infrastructure представляет собой Linux-эквивалент Microsoft Windows Management Infrastructure (WMI), службы, которая собирает данные из локальных сред и синхронизирует их с центральным управляющим сервером. Большинство клиентов Azure даже не знают, что Microsoft незаметно устанавливает OMI на все виртуальные машины Azure Linux. Более того, клиент OMI работает с привилегиями root.
В состав OMIGOD входят следующие уязвимости:
- CVE-2021-38647 — RCE без аутентификации с root-правами (9,8 балла по шкале CVSS);
- CVE-2021-38648 — уязвимость, связанная с повышением привилегий (7,8 балла по шкале CVSS);
- CVE-2021-38645 — уязвимость, связанная с повышением привилегий (7,8 балла по шкале CVSS);
- CVE-2021-38649 — уязвимость, связанная с повышением привилегий (7 баллов по шкале CVSS).
Как нетрудно догадаться, наиболее серьезной из четырех проблем является CVE-2021-38647, которая позволяет злоумышленнику захватить виртуальную машину, просто отправив специально сформированный пакет. Хуже того, оказавшись внутри сети, злоумышленник может повторить атаку на другие системы и продолжать вплоть до полной компрометации сети.
«Это хрестоматийная RCE-уязвимость, которую можно было бы найти в 90-х. Крайне необычно, что в 2021 году появилась такая уязвимость, которая может [поставить под удар] миллионы эндпоинтов, — пишут эксперты компании Wiz, обнаружившие проблемы. — С помощью всего одного пакета злоумышленник может стать root-пользователем на удаленной машине, просто удалив аутентификационный хэдер. Всё действительно настолько просто».
Исследователи отмечают, что порты, через которые можно эксплуатировать эту ошибку, к счастью, не «видны» в интернете по умолчанию.
«Если у вас есть OMI, прослушивающий порты 5985, 5986, 1270, мы рекомендуем немедленно ограничить сетевой доступ к этим портам, чтобы защититься от уязвимости (CVE-2021-38647)», — гласит заявление Wiz.
Увы, если эти порты недоступны, атакующий все равно может злоупотребить тремя другими ошибками OMIGOD, обманом вынудив пользователя Azure открыть вредоносный файл, что в итоге позволит коду злоумышленника получить root-доступ.
Но самой плохой новостью в данной ситуации является уже упомянутое отсутствие у OMI механизма для автоматического обновления. Дело в том, что большинство пользователей вообще не знают о существовании OMI, а его работа невидима для них, поэтому обновлять его вручную они тоже явно не станут. Между тем, OMI устанавливается и включается при активации любого из нижеперечисленных инструментов и сервисов:
- Azure Automation;
- Azure Automatic Update;
- Azure Operations Management Suite (OMS);
- Azure Log Analytics;
- Azure Configuration Management;
- Azure Diagnostics.
