Bild: Wiz.io < /figure>
Användare av Azure som kör virtuella Linux -maskiner kanske inte är medvetna om att de har en mycket sårbar del av hanteringsprogram installerad på sin dator av Microsoft, som kan fjärranvändas på ett otroligt överraskande och lika dumt sätt.
Som beskrivs av Wiz.io, som hittade fyra sårbarheter i Microsofts Open Management Infrastructure -projekt, skulle en angripare kunna få root -åtkomst på en fjärrmaskin om de skickade ett enda paket med autentiseringsrubriken borttagen.
“Det här är en läroböcker -RCE -sårbarhet som du kan förvänta dig att se på 90 -talet – det är högst ovanligt att få en skörd 2021 som kan avslöja miljontals slutpunkter”, skrev Wiz säkerhetsforskare Nir Ohfeld.
“Tack vare kombinationen av ett enkelt villkorligt uttalandekodningsfel och en oinitialiserad auktoriserad struktur har alla begäranden utan ett auktoriseringshuvud sina privilegier som standard till uid = 0, gid = 0, vilket är root.”
Om OMI exponerar port 5986, 5985 eller 1270 externt är systemet sårbart.
“Detta är standardkonfigurationen när den installeras fristående och i Azure Configuration Management eller System Center Operations Manager. Lyckligtvis exponerar inte andra Azure -tjänster (t.ex. Log Analytics) den här porten, så omfattningen är begränsad till lokal privilegieupptrappning i dessa situationer, tillade Ohfeld.
Problemet för användare, som beskrivs av Ohfeld, är att OMI är tyst installerat när användare installerar loggsamling, saknar offentlig dokumentation och körs med root -privilegier. Wiz fann att över 65% av Azure -kunder som kör Linux som det tittade på var sårbara.
I sin rådgivning om de fyra CVE som släpptes idag-CVE-2021-38647 betygsatt 9,8, CVE-2021-38648 betygsatt 7,8, CVE-2021-38645 betygsatt 7,8 och CVE-2021-38649 betygsatt 7,0-Microsoft sa korrigeringen för sårbarheterna drevs till sin OMI -kod den 11 augusti för att ge sina partners tid att uppdatera innan de beskriver problemen.
Användare bör se till att de kör OMI version 1.6.8.1, och Microsoft lägger till instruktioner i sina råd om att dra ner OMI -uppdateringarna från sina arkiv om maskiner inte har uppdaterats ännu.
“System Center-distributioner av OMI löper större risk eftersom Linux-agenterna har tagits bort. Kunder som fortfarande använder System Center med OMI-baserat Linux kan behöva uppdatera OMI-agenten manuellt”, varnade Wiz.
Sårbarheterna var en del av Microsofts senaste Patch Tuesday.
Liksom många sårbarheter nuförtiden måste ett fängslande namn bifogas dem, i det här fallet kallade Wiz dem OMIGOD.
Relaterad täckning
Windows 11: Så här får du Microsofts kostnadsfria uppdatering av operativsystemetAzure Cosmos DB -varning: Denna kritiska sårbarhet sätter användare i fara. AlmaLinux anländer till Azure -molnet Microsoft växer Azure Space Australia med Nokia, SA govt och University of AdelaideMicrosoft: Vi har åtgärdat Azure containerfel som kan ha läckt data
Relaterade ämnen:
Cloud Security TV Data Management CXO Data Center 