Ранее на этой неделе мы писали о том, что компания Microsoft устранила четыре критические уязвимости, носящие общее название OMIGOD. Проблемы были найдены в Open Management Infrastructure (OMI), который незаметно и автоматически устанавливается на виртуальные машины Azure Linux (более половины всех экземпляров Azure).
OMI устанавливается и включается при активации любого из перечисленных инструментов и сервисов: Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management и Azure Diagnostics.
В состав OMIGOD входят следующие уязвимости:
- CVE-2021-38647— RCE без аутентификации с root-правами (9,8 балла по шкале CVSS);
- CVE-2021-38648— уязвимость, связанная с повышением привилегий (7,8 балла по шкале CVSS);
- CVE-2021-38645— уязвимость, связанная с повышением привилегий (7,8 балла по шкале CVSS);
- CVE-2021-38649— уязвимость, связанная с повышением привилегий (7 баллов по шкале CVSS).
«Это хрестоматийная RCE-уязвимость, которую можно было бы найти в 90-х. Крайне необычно, что в 2021 году появилась такая уязвимость, которая может [поставить под удар] миллионы эндпоинтов, — писали эксперты компании Wiz, обнаружившие проблемы. — С помощью всего одного пакета злоумышленник может стать root-пользователем на удаленной машине, просто удалив аутентификационный хэдер. Всё действительно настолько просто».
Проблемы OMIGOD были устранены в OMI версии 1.6.8.1, но в приложении нет механизма автоматического обновления, поэтому большинство виртуальных машин Azure Linux останутся уязвимыми до тех пор, пока обновление не будет установлено вручную.
Теперь компания Microsoft призывает клиентов сделать именно это, то есть обновить уязвимое ПО вручную, чтобы защититься от атак с использованием OMIGOD. Также компания обещает, что новые виртуальные машины будут защищены от этих уязвимостей после публикации обновленных расширений.
Проблема в том, что первые атаки с использованием OMIGOD уже обнаружены ИБ-экспертами. В частности, по данных компаний Bad Packets и GreyNoise, злоумышленники уже сканируют интернет в поисках незащищенных виртуальных машин Azure Linux, и атак идут более чем со 110 серверов. ИБ-исследователь Герман Фернадес пишет, что за некоторыми из этих атак стоит ботнет на базе Mirai.
Компания Cado Security тоже изучила малварь этого ботнета и сообщает, что вредонос «закрывает уязвимые порты, которые использовал, чтобы не дать другим ботнетам захватить систему».
Как пишет ИБ-эксперт Бомонт, другие злоумышленники, эксплуатирующие баги OMIGOD, разворачивают в зараженных системах майнеры криптовалюты.
Lol, my OMIGOD test box is now running a coin miner. It’s officially a vuln now, we should retire CVEs and go for Doge numbers.
— Kevin Beaumont (@GossiTheDog) September 16, 2021