Microsoft исправляет критические ошибки в тайно установленном приложении Azure для Linux

Microsoft: Июньские обновления Windows могут нарушить работу точек доступа Wi-Fi

Корпорация Майкрософт устранила четыре критические уязвимости, известные под общим названием OMIGOD, обнаруженные в программном агенте Open Management Infrastructure (OMI), автоматически установленном на машинах Azure Linux, составляющих более половины экземпляров Azure.

OMI — это программная служба для управления ИТ с поддержкой большинства систем UNIX и современных платформ Linux, используемая несколькими службами Azure, включая Open Management Suite (OMS), Azure Insights , Azure Automation .

Эти уязвимости были обнаружены исследователями фирмы Wiz, занимающейся облачной безопасностью, Ниром Офельдом и Широм Тамари, которые назвали их OMIGOD.

«Проблема заключается в том, что этот« секретный »агент широко используется (потому что это открытый исходный код) и полностью невидим для клиентов, поскольку его использование в Azure полностью недокументировано», — сказал Офельд.

Миллионы конечных точек подвержены атакам

Исследователи «консервативно оценивают», что тысячи клиентов Azure и миллионы конечных точек подвержены этим недостаткам безопасности:

  • CVE-2021-38647 — RCE без аутентификации от имени пользователя root (уровень серьезности: 9,8 / 10)
  • CVE-2021-38648 — уязвимость, связанная с повышением привилегий (уровень опасности: 7,8 / 10).
  • CVE-2021-38645 — уязвимость, связанная с повышением привилегий (уровень опасности: 7,8 / 10).
  • CVE-2021-38649 — уязвимость, связанная с повышением привилегий (уровень опасности: 7,0 / 10).

Все клиенты Azure с компьютерами Linux, на которых работает один из следующих инструментов или служб, подвергаются риску:

  • Автоматизация Azure
  • Автоматическое обновление Azure
  • Пакет управления операциями Azure (OMS)
  • Аналитика журналов Azure
  • Управление конфигурацией Azure
  • Диагностика Azure

«Когда пользователи включают любую из этих популярных служб, OMI автоматически устанавливается на их виртуальную машину, работая с максимально возможными привилегиями», —  добавил Офельд. «Это происходит без явного согласия или ведома клиентов. Пользователи просто нажимают кнопку« Согласиться на сбор журналов »во время настройки, и они сами того не осознают».

Другие клиенты Microsoft также сталкиваются с недостатками OMIGOD, поскольку агент OMI также может быть установлен вручную локально, поскольку он встроен в System Center for Linux, который является инструментом управления сервером Microsoft.

«Это хрестоматийная уязвимость RCE, которую вы ожидали увидеть в 90-х — очень необычно, чтобы в 2021 году появилась одна, способная обнажить миллионы конечных точек», — добавил Офельд относительно ошибки CVE-2021-38647 RCE. 

«С помощью одного пакета злоумышленник может стать пользователем root на удаленной машине, просто удалив заголовок аутентификации. Это очень просто.

«Эта уязвимость может также использоваться злоумышленниками для получения первоначального доступа к целевой среде Azure, а затем перемещаться внутри нее».

Как защитить конечную точку Azure Linux

«Microsoft выпустила исправленную версию OMI (1.6.8.1). Кроме того, Microsoft посоветовала клиентам вручную выполнять OMI, см. Предлагаемые действия Microsoft здесь» , — сказал исследователь безопасности Wiz Нир Офельд.

«Если у вас есть OMI, прослушивающий порты 5985, 5986, 1270, мы рекомендуем немедленно ограничить сетевой доступ к этим портам, чтобы защититься от уязвимости RCE (CVE-2021-38647)».

Несмотря на то, что Microsoft представила фиксацию усиленной безопасности 11 августа 2021 года, эффективно раскрывая все подробности, необходимые злоумышленникам для разработки эксплойта, компания выпустила исправленную версию программного агента OMI только 8 сентября и назначила CVE только через неделю в качестве части. вторника патчей этого месяца.

Что еще хуже, нет механизма автоматического обновления, который Microsoft может использовать для обновления уязвимых агентов на всех машинах Azure Linux, а это означает, что клиентам приходится обновлять его вручную, чтобы защитить конечные точки от любых входящих атак с использованием эксплойтов OMIGOD.

Чтобы вручную обновить агент OMI, вам необходимо:

Последнее обновление 16.09.2021