OMIGOD: Azure-gebruikers met Linux-VM’s moeten nu updaten

Afbeelding: Wiz.io

Gebruikers van Azure die virtuele Linux-machines gebruiken, zijn zich er misschien niet van bewust dat ze een zeer kwetsbaar stukje beheersoftware op hun computer hebben geïnstalleerd door Microsoft, die op een ongelooflijk verrassende en even stomme manier op afstand kan worden misbruikt.

Zoals beschreven door Wiz.io, dat vier kwetsbaarheden vond in het Open Management Infrastructure-project van Microsoft, zou een aanvaller root-toegang kunnen krijgen op een externe machine als hij een enkel pakket zou verzenden zonder de authenticatieheader.

“Dit is een RCE-kwetsbaarheid uit het leerboek die je in de jaren 90 zou verwachten – het is hoogst ongebruikelijk dat er in 2021 een opduikt die miljoenen eindpunten kan blootleggen”, schreef Wiz-beveiligingsonderzoeker Nir Ohfeld.

“Dankzij de combinatie van een eenvoudige codeerfout van een voorwaardelijke instructie en een niet-geïnitialiseerde auth-struct, heeft elk verzoek zonder een Authorization-header zijn privileges standaard op uid=0, gid=0, wat root is.”

Als OMI extern poort 5986, 5985 of 1270 vrijgeeft, is het systeem kwetsbaar.

“Dit is de standaardconfiguratie wanneer deze standalone wordt geïnstalleerd en in Azure Configuration Management of System Center Operations Manager. Gelukkig stellen andere Azure-services (zoals Log Analytics) deze poort niet beschikbaar, dus het bereik is beperkt tot lokale escalatie van bevoegdheden in die situaties, ‘, voegde Ohfeld eraan toe.

Het probleem voor gebruikers, zoals beschreven door Ohfeld, is dat OMI stil wordt geïnstalleerd wanneer gebruikers logverzameling installeren, een gebrek aan openbare documentatie heeft en draait met root-privileges. Wiz ontdekte dat meer dan 65% van de Azure-klanten die Linux draaiden, kwetsbaar waren.

In zijn advies over de vier CVE’s die vandaag zijn vrijgegeven — CVE-2021-38647 beoordeeld met 9,8, CVE-2021-38648 beoordeeld met 7,8, CVE-2021-38645 beoordeeld met 7,8 en CVE-2021-38649 beoordeeld met 7,0 — zei Microsoft dat de oplossing voor de kwetsbaarheden werden op 11 augustus naar de OMI-code gepusht om haar partners de tijd te geven om te updaten voordat ze de problemen gedetailleerd beschreven.

Gebruikers moeten ervoor zorgen dat ze OMI-versie 1.6.8.1 gebruiken, waarbij Microsoft instructies toevoegt aan zijn adviezen om de OMI-updates uit zijn repositories te halen als machines nog niet zijn bijgewerkt.

“System Center-implementaties van OMI lopen een groter risico omdat de Linux-agents zijn afgeschaft. Klanten die nog steeds System Center gebruiken met op OMI gebaseerde Linux, moeten de OMI-agent mogelijk handmatig bijwerken”, waarschuwde Wiz.

De kwetsbaarheden waren onderdeel van Microsoft’s laatste Patch Tuesday.

Zoals veel kwetsbaarheden tegenwoordig, moet er een pakkende naam aan worden gehecht, in dit geval noemde Wiz ze OMIGOD.

Gerelateerde dekking:

Posted By :sdy hari ini