Billede: Wiz.io < /figure>
Brugere af Azure, der kører virtuelle Linux -maskiner, er muligvis ikke klar over, at de har et meget sårbart stykke ledelsessoftware installeret på deres maskine af Microsoft, der kan fjernudnyttes på en utrolig overraskende og lige så dum måde.
Som beskrevet af Wiz.io, der fandt fire sårbarheder i Microsofts Open Management Infrastructure -projekt, ville en angriber kunne få root -adgang på en fjernmaskine, hvis de sendte en enkelt pakke med godkendelseshovedet fjernet.
“Dette er en RCE -sårbarhed i en lærebog, som du ville forvente at se i 90'erne – det er yderst usædvanligt at få en beskæring i 2021, der kan afsløre millioner af endepunkter,” skrev Wiz -sikkerhedsforsker Nir Ohfeld.
“Takket være kombinationen af en simpel betinget fejlkodning og en uinitialiseret godkendelsesstruktur har enhver anmodning uden et autorisationsoverskrift sine privilegier som standard til uid = 0, gid = 0, som er root.”
Hvis OMI eksponerer port 5986, 5985 eller 1270 eksternt, er systemet sårbart.
“Dette er standardkonfigurationen, når den installeres selvstændigt og i Azure Configuration Management eller System Center Operations Manager. Heldigvis afslører andre Azure -tjenester (f.eks. Log Analytics) ikke denne port, så omfanget er begrænset til lokal privilegium -eskalering i disse situationer, “tilføjede Ohfeld.
Problemet for brugere, som beskrevet af Ohfeld, er, at OMI er lydløst installeret, når brugere installerer logsamling, mangler offentlig dokumentation og kører med root -rettigheder. Wiz fandt, at over 65% af Azure -kunder, der kørte Linux, det kiggede på, var sårbare.
I sin rådgivning om de fire CVE'er, der blev frigivet i dag-CVE-2021-38647 vurderet til 9,8, CVE-2021-38648 vurderet til 7,8, CVE-2021-38645 bedømt til 7,8, og CVE-2021-38649 bedømt til 7,0-sagde Microsoft rettelsen til sårbarhederne blev skubbet til sin OMI -kode den 11. august for at give sine partnere tid til at opdatere, før de beskriver problemerne.
Brugere bør sikre, at de kører OMI -version 1.6.8.1, idet Microsoft tilføjer instruktioner i sine råd om at trække OMI -opdateringerne fra sine lagre ned, hvis maskiner ikke er opdateret endnu.
“System Center-implementeringer af OMI er i større risiko, fordi Linux-agenterne er blevet forældet. Kunder, der stadig bruger System Center med OMI-baseret Linux, skal muligvis manuelt opdatere OMI-agenten,” advarede Wiz.
Sårbarhederne var en del af Microsofts seneste Patch Tuesday.
Som mange sårbarheder i disse dage skal der knyttes et iørefaldende navn til dem, i dette tilfælde kaldte Wiz dem OMIGOD.
Relateret dækning
Windows 11: Sådan får du Microsofts gratis opdatering af operativsystemetAzure Cosmos DB -advarsel: Denne kritiske sårbarhed sætter brugerne i fareAlmaLinux ankommer til Azure cloud Microsoft vokser Azure Space Australia med Nokia, SA govt og University of AdelaideMicrosoft: Vi har rettet Azure -beholderfejl, der kunne have lækket data
Relaterede emner:
Cloud Security TV Data Management CXO Data Centers 