OMIGOD ! Microsoft efterlod et stort RCE-hul i deres standard Linux-konfiguration på Azure

Microsoft siger, at de elsker Linux, men det ser ud til, at kærligheden ikke omfattede at sikre, at de ikke gav super-let root-adgang til hackere til Azure-installationer af OS.

Sikkerhedsfirmaet Wiz' research team opdagede for nylig en række alarmerende sårbarheder i den lidet kendte softwareagent kaldet Open Management Infrastructure (OMI), der er indlejret i mange populære Azure-tjenester.

Når kunder konfigurerer en virtuel Linux-maskine i deres sky, inklusive på Azure, implementeres OMI-agenten automatisk uden deres viden, når de aktiverer visse Azure-tjenester. Medmindre der anvendes en patch, kan angribere nemt udnytte fire sårbarheder til at eskalere til root-privilegier og eksternt eksekvere ondsindet kode (f.eks. kryptering af filer til løsesum).

Alt hackere skal gøre for at få root-adgang på en ekstern maskine sendes en enkelt pakke med godkendelsesheaderen fjernet.

Hvis OMI eksternt afslører porte 5986, 5985 eller 1270, er systemet sårbart.

"Takket være kombinationen af ​​en simpel betinget sætningskodningsfejl og en ikke-initialiseret godkendelsesstruktur, har enhver anmodning uden en autorisationsheader sine privilegier som standard uid=0, gid=0, som er root."

Wiz døbte sårbarheden OMIGOD og mener, at op til 65 % af Linux-installationer på Azure var sårbare.

Microsoft udgav en patchet OMI-version (1.6.8.1). Derudover rådede Microsoft kunder til manuelt at opdatere OMI, se de foreslåede trin fra Microsoft her.

Wiz foreslår, at hvis du har OMI-lytning på porte 5985, 5986, 1270, skal du straks begrænse netværksadgang til disse porte for at beskytte mod RCE-sårbarheden (CVE-2021-38647).

via ZDNet