Afbeelding: Wiz.io < /figure>
Gebruikers van Azure die virtuele Linux-machines gebruiken, zijn zich er misschien niet van bewust dat ze een zeer kwetsbaar stuk beheersoftware op hun computer hebben geïnstalleerd door Microsoft, dat op een ongelooflijk verrassende en even stomme manier op afstand kan worden misbruikt.
Zoals beschreven door Wiz.io, dat vier kwetsbaarheden vond in het Open Management Infrastructure-project van Microsoft, zou een aanvaller root-toegang kunnen krijgen op een externe machine als hij een enkel pakket zou verzenden zonder de authenticatieheader.
“Dit is een RCE-kwetsbaarheid uit het leerboek die je zou verwachten in de jaren 90 – het is hoogst ongebruikelijk dat er in 2021 een opduikt die miljoenen eindpunten kan blootleggen”, schreef Wiz-beveiligingsonderzoeker Nir Ohfeld.
“Dankzij de combinatie van een eenvoudige codeerfout in een voorwaardelijke instructie en een niet-geïnitialiseerde auth-struct, heeft elk verzoek zonder een Authorization-header zijn privileges standaard op uid=0, gid=0, wat root is.”
Als OMI extern poort 5986, 5985 of 1270 vrijgeeft, is het systeem kwetsbaar.
“Dit is de standaardconfiguratie wanneer deze standalone wordt geïnstalleerd en in Azure Configuration Management of System Center Operations Manager. Gelukkig stellen andere Azure-services (zoals Log Analytics) deze poort niet beschikbaar, dus het bereik is beperkt tot lokale privilege-escalatie in die situaties,” voegde Ohfeld eraan toe.
Het probleem voor gebruikers, zoals beschreven door Ohfeld, is dat OMI stil wordt geïnstalleerd wanneer gebruikers logverzameling installeren, een gebrek aan openbare documentatie heeft en draait met root-privileges. Wiz ontdekte dat meer dan 65% van de Azure-klanten die Linux draaiden, kwetsbaar waren.
In zijn advies over de vier CVE's die vandaag zijn vrijgegeven — CVE-2021-38647 beoordeeld met 9,8, CVE-2021-38648 beoordeeld met 7,8, CVE-2021-38645 beoordeeld met 7,8 en CVE-2021-38649 beoordeeld met 7,0 — zei Microsoft dat de oplossing voor de kwetsbaarheden werden op 11 augustus naar de OMI-code gepusht om haar partners de tijd te geven om te updaten voordat ze de problemen gedetailleerd beschreven.
Gebruikers moeten ervoor zorgen dat ze OMI-versie 1.6.8.1 gebruiken, waarbij Microsoft instructies toevoegt aan zijn adviezen om de OMI-updates uit zijn repositories te halen als de machines nog niet zijn bijgewerkt.
“System Center-implementaties van OMI lopen een groter risico omdat de Linux-agents zijn afgeschaft. Klanten die System Center nog steeds gebruiken met op OMI gebaseerde Linux, moeten de OMI-agent mogelijk handmatig bijwerken”, waarschuwde Wiz.
De kwetsbaarheden waren onderdeel van Microsoft's laatste Patch Tuesday.
Zoals veel kwetsbaarheden tegenwoordig, moet er een pakkende naam aan worden gehecht, in dit geval noemde Wiz ze OMIGOD.
Gerelateerde dekking
Windows 11: hier leest u hoe u de gratis update van het besturingssysteem van Microsoft kunt krijgenAzure Cosmos DB-waarschuwing: deze kritieke kwetsbaarheid brengt gebruikers in gevaar AlmaLinux arriveert op Azure-cloudMicrosoft breidt Azure Space Australia uit met Nokia, SA Universiteit van AdelaideMicrosoft: we hebben een Azure-containerfout opgelost die gegevens zou kunnen hebben gelekt
Verwante onderwerpen:
Cloudbeveiliging TV-gegevensbeheer CXO-datacenters 