OMIGOD: использование виртуальных машин Microsoft Azure для сброса майнеров Mirai

34
OMIGOD: использование виртуальных машин Microsoft Azure для сброса майнеров Mirai

Злоумышленники начали активно использовать критические уязвимости Azure OMIGOD через два дня после того, как Microsoft раскрыла их во вторник исправлений в этом месяце.

Четыре недостатка безопасности (позволяющие повысить привилегии и удаленное выполнение кода) были обнаружены в программном агенте Open Management Infrastructure (OMI), незаметно установленном Microsoft более чем на половине всех экземпляров Azure.

В целом, по словам исследователей Wiz Нира Офельда и Шира Тамари, обнаруживших их, эти ошибки затрагивают тысячи клиентов Azure и миллионы конечных точек.

«С помощью одного пакета злоумышленник может получить root-доступ на удаленной машине, просто удалив заголовок аутентификации. Это очень просто», — сказал исследователь Wiz Нир Офельд о недостатке удаленного выполнения кода (RCE) CVE-2021-38647.

«Эта уязвимость также может быть использована злоумышленниками для получения первоначального доступа к целевой среде Azure и последующего перемещения внутри нее».

Активно используется для удаления вредоносных программ ботнетов и майнинга криптовалют

Первые атаки были обнаружены вчера вечером исследователем безопасности Херманом Фернандесом и вскоре были подтверждены компаниями по кибербезопасности GreyNoise и Bad Packets .

Согласно текущей статистике GreyNoise , злоумышленники сканируют Интернет в поисках незащищенных виртуальных машин Azure Linux, уязвимых для эксплойтов CVE-2021-38647 с более чем 110 серверов.

Ботнет Mirai стоит за некоторыми из этих попыток эксплуатации, нацеленных на конечные точки Azure Linux OMI, уязвимые для эксплойтов CVE-2021-38647 RCE, как впервые заметил Фернандес в четверг вечером.

Компания Cado Security, занимающаяся цифровой криминалистикой, также проанализировала вредоносное ПО ботнета, сброшенное на скомпрометированные системы, и обнаружила, что оно также «закрывает порты уязвимостей, которые оно использовало, чтобы не дать другим ботнетам захватить систему».

Как обнаружил исследователь безопасности Кевин Бомонт , другие злоумышленники нацелены на уязвимые системы Azure, связанные с OMIGOD, для развертывания полезной нагрузки криптомайнера.

Как защитить свою виртуальную машину Azure

Хотя Microsoft выпустила исправленную версию программного агента OMI более недели назад, компания все еще находится в процессе развертывания обновлений безопасности для облачных клиентов, у которых включены автоматические обновления на своих виртуальных машинах.

Согласно дополнительному руководству Redmond, выпущенному сегодня, «клиенты должны обновлять уязвимые расширения для своих облачных и локальных развертываний по мере появления обновлений» в соответствии с заранее определенным расписанием , опубликованным командой Microsoft Security Response Center.

«Новые виртуальные машины в этих регионах будут защищены от этих уязвимостей после публикации обновленных расширений».

Чтобы вручную обновить агент OMI на вашей виртуальной машине, вы также можете использовать встроенный менеджер пакетов Linux:

«Пока обновления развертываются с использованием методов безопасного развертывания, клиенты могут защитить себя от уязвимости RCE, обеспечив развертывание виртуальных машин в группе сетевой безопасности (NSG) или за межсетевым экраном периметра и ограничив доступ к системам Linux, которые открывают порты OMI (TCP 5985, 5986 и 1207) «, — добавила Microsoft.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here