Immagine: Wiz.io < /figure>
Gli utenti di Azure che eseguono macchine virtuali Linux potrebbero non essere consapevoli di avere un software di gestione molto vulnerabile installato sulla loro macchina da Microsoft, che può essere sfruttato in remoto in un modo incredibilmente sorprendente e altrettanto stupido.
Come dettagliato da Wiz.io, che ha rilevato quattro vulnerabilità nel progetto Open Management Infrastructure di Microsoft, un utente malintenzionato sarebbe in grado di ottenere l'accesso root su una macchina remota se inviasse un singolo pacchetto con l'intestazione di autenticazione rimossa.
“Questa è una vulnerabilità RCE da manuale che ti aspetteresti di vedere negli anni '90: è molto insolito che nel 2021 ne esca uno in grado di esporre milioni di endpoint”, ha scritto il ricercatore di sicurezza di Wiz Nir Ohfeld.
“Grazie alla combinazione di un semplice errore di codifica dell'istruzione condizionale e di una struttura di autenticazione non inizializzata, qualsiasi richiesta senza un'intestazione di autorizzazione ha i suoi privilegi predefiniti su uid=0, gid=0, che è root.”
Se OMI espone esternamente la porta 5986, 5985 o 1270, il sistema è vulnerabile.
“Questa è la configurazione predefinita quando installata autonomamente e in Azure Configuration Management o System Center Operations Manager. Fortunatamente, altri servizi di Azure (come Log Analytics) non espongono questa porta, quindi l'ambito è limitato a l'escalation dei privilegi locali in quelle situazioni”, ha aggiunto Ohfeld.
Il problema per gli utenti, come descritto da Ohfeld, è che OMI viene installato silenziosamente quando gli utenti installano la raccolta di log, ha una mancanza di documentazione pubblica e viene eseguito con i privilegi di root. Wiz ha rilevato che oltre il 65% dei clienti di Azure che eseguono Linux è risultato vulnerabile.
Nel suo advisory sui quattro CVE rilasciati oggi – CVE-2021-38647 classificato 9,8, CVE-2021-38648 classificato 7,8, CVE-2021-38645 classificato 7,8 e CVE-2021-38649 classificato 7,0 – Microsoft ha affermato che la correzione per le vulnerabilità sono state trasferite al codice OMI l'11 agosto per dare ai suoi partner il tempo di aggiornarsi prima di dettagliare i problemi.
Gli utenti devono assicurarsi di eseguire OMI versione 1.6.8.1, con Microsoft che aggiunge istruzioni nei suoi avvisi per estrarre gli aggiornamenti OMI dai suoi repository se le macchine non sono ancora aggiornate.
“Le distribuzioni di System Center di OMI sono a maggior rischio perché gli agenti Linux sono stati deprecati. I clienti che ancora utilizzano System Center con Linux basato su OMI potrebbero dover aggiornare manualmente l'agente OMI”, ha avvertito Wiz.
Le vulnerabilità facevano parte dell'ultimo Patch Tuesday di Microsoft.
Come molte vulnerabilità in questi giorni, un nome accattivante deve essere attaccato a loro, in questo caso, Wiz li ha soprannominati OMIGOD.
Copertura correlata
Windows 11: ecco come ottenere l'aggiornamento gratuito del sistema operativo di Microsoft Avviso Azure Cosmos DB: questa vulnerabilità critica mette a rischio gli utentiAlmaLinux arriva sul cloud di AzureMicrosoft fa crescere Azure Space Australia con Nokia, SA govt e University of AdelaideMicrosoft: Abbiamo corretto il difetto del contenitore di Azure che poteva causare la perdita di dati
Argomenti correlati:
Cloud Security TV Data Management CXO Data Center 