OMIGOD: Azure -brukere som kjører Linux -VM -er, må oppdatere nå

0
116

 Chris Duckett

Av Chris Duckett | 15. september 2021 – 01:44 GMT (02:44 BST) | Tema: Sikkerhet

omi-auth-header.gif

Bilde: Wiz.io < /figure>

Brukere av Azure som kjører virtuelle Linux -maskiner er kanskje ikke klar over at de har et svært sårbart stykke programvare installert på maskinen av Microsoft, som kan fjernutnyttes på en utrolig overraskende og like dum måte.

Som beskrevet av Wiz.io, som fant fire sårbarheter i Microsofts Open Management Infrastructure -prosjekt, ville en angriper kunne få root -tilgang på en ekstern maskin hvis de sendte en enkelt pakke med autentiseringsoverskriften fjernet.

“Dette er en lærebok RCE -sårbarhet som du forventer å se på 90 -tallet – det er svært uvanlig å få en beskjæring i 2021 som kan avsløre millioner av endepunkter,” skrev Wiz sikkerhetsforsker Nir Ohfeld.

“Takket være kombinasjonen av en enkel betinget feilkodingsfeil og en uinitialisert autorisasjonsstruktur, har enhver forespørsel uten et autorisasjonshode sine privilegier som standard til uid = 0, gid = 0, som er root.”

Hvis OMI eksponerer port 5986, 5985 eller 1270 eksternt, er systemet sårbart.

“Dette er standardkonfigurasjonen når den installeres frittstående og i Azure Configuration Management eller System Center Operations Manager. Heldigvis avslører ikke andre Azure -tjenester (for eksempel Log Analytics) denne porten, så omfanget er begrenset til lokal opptrapping av privilegier i disse situasjonene, “la Ohfeld til.

Problemet for brukere, som beskrevet av Ohfeld, er at OMI er stille installert når brukere installerer loggsamling, mangler offentlig dokumentasjon og kjører med rotrettigheter. Wiz fant over 65% av Azure -kundene som kjørte Linux det så på var sårbare.

I sin rådgivning om de fire CVE-ene som ble utgitt i dag-CVE-2021-38647 vurdert til 9,8, CVE-2021-38648 vurdert til 7,8, CVE-2021-38645 vurdert til 7,8 og CVE-2021-38649 til 7,0-Microsoft sa reparasjonen for sårbarhetene ble presset til OMI -koden 11. august for å gi partnerne tid til å oppdatere før de beskriver problemene.

Brukere bør sørge for at de kjører OMI versjon 1.6.8.1, og Microsoft legger til instruksjoner i sine råd for å trekke ned OMI -oppdateringene fra sine arkiver hvis maskiner ikke er oppdatert ennå.

“System Center-distribusjoner av OMI har større risiko fordi Linux-agentene er blitt avskrevet. Kunder som fortsatt bruker System Center med OMI-basert Linux, må kanskje oppdatere OMI-agenten manuelt,” advarte Wiz.

Sårbarhetene var en del av Microsofts siste oppdateringstirsdag.

Som mange sårbarheter i disse dager, må det være knyttet et fengende navn til dem, i dette tilfellet kalte Wiz dem OMIGOD.

Relatert dekning

Windows 11: Slik får du Microsofts gratis operativsystemoppdatering Azur Cosmos DB -varsel: Dette kritiske sikkerhetsproblemet setter brukere i fare. AlmaLinux ankommer Azure -sky Microsoft vokser Azure Space Australia med Nokia, SA govt og University of AdelaideMicrosoft: Vi har løst Azure containerfeil som kan ha lekket data

Relaterte emner:

Cloud Security TV Data Management CXO Data Centers

Av Chris Duckett | 15. september 2021 – 01:44 GMT (02:44 BST) | Tema: Sikkerhet