Upozorňujeme na závažné zranitelnosti v softwarovém agentovi OMI (Open Management Infrastructure). Jedná se o software pro správu, který je obdobou WMI ve Windows (Windows Management Instrumentation) a je automaticky instalován na virtuální stroje s operačním systémem Linux v Azure.
OMI agent běží s vysokým oprávněním uživatele root. Útočník může docílit vzdáleného spuštění kódu a eskalaci práv na cílovém systému, a to zasláním speciálně upraveného paketu na OMI rozhraní. V případě publikace OMI portů (5986/5985/1270) do internetu je zde vysoké riziko zneužití zranitelností, přičemž by tak útočník zvenčí mohl získat prvotní přístup do Azure prostředí oběti a následně ovládnout další provozované stroje.
V současné době je již na tyto zranitelnosti veřejně k dispozici proof-of-concept, existuje tedy vysoké riziko zneužití zranitelností k útoku.
Za pomoc se zpracováním děkujeme Ministerstvu vnitra ČR.
Identifikátory: CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649
CVSS3.0: 9.8, 7.8, 7.8, 7.0
Systém/program: OMI na systémech Linux běžící v Azure
Zranitelná verze: 1.6.8.0 a nižší
Opravená verze: 1.6.8.1
Vektor zneužítí: Síť
Složtost útoku: Nízká
Vyžadovaná oprávnění: Žádná
Vyžadovaná interakce uživatele: Ne
Zranitelné systémy:
- Linuxové stroje běžící v Azure s aktivovanými nástroji či službami:
- Azure Automation
- Azure Automatic Update
- Azure Operations Management Suite
- Azure Log Analytics
- Azure Configuration Management
- Azure Diagnostics
- Azure Container Insights
- Stroje s nainstalovaným System Center for Linux.
Pozn. výčet nemusí být konečný
Doporučení:
- bezodkladně nainstalovat poslední dostupné bezpečnostní záplaty (verze OMI1.6.8-).
Dle dostupných informací ze strany Microsoftu nedochází k automatickým aktualizacím OMI agenta.
- ověřit, že rozhraní OMI agenta s porty 5986, 5985 a 1270 není vystaveno do internetu či do jiné nezabezpečené sítě.
Reference:
- https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure
- Microsoft fixes OMIGOD bugs in secret Azure app - The Record by Recorded Future
- Microsoft fixes critical bugs in secretly installed Azure Linux app (bleepingcomputer.com)
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649