OMIGOD ! Microsoft a laissé un gros trou RCE dans sa configuration Linux par défaut sur Azure

Microsoft dit qu'ils aiment Linux, mais il semble que cet amour ne s'est pas étendu à s'assurer qu'ils ne donnaient pas un accès root super facile aux pirates pour les installations Azure du système d'exploitation.

L'équipe de recherche de la société de sécurité Wiz a récemment découvert une série de vulnérabilités alarmantes dans l'agent logiciel peu connu appelé Open Management Infrastructure (OMI) qui est intégré dans de nombreux services Azure populaires.

Lorsque les clients configurent une machine virtuelle Linux dans leur cloud, y compris sur Azure, l'agent OMI est automatiquement déployé à leur insu lorsqu'ils activent certains services Azure. À moins qu'un correctif ne soit appliqué, les attaquants peuvent facilement exploiter quatre vulnérabilités pour passer aux privilèges root et exécuter à distance du code malveillant (par exemple, chiffrer des fichiers contre une rançon).

Tout ce que les pirates ont à faire pour obtenir un accès root sur une machine distante est envoyé un seul paquet avec l'en-tête d'authentification supprimé.

Si OMI expose en externe les ports 5986, 5985 ou 1270, le système est vulnérable.

"Grâce à la combinaison d'une simple erreur de codage d'instruction conditionnelle et d'une structure d'authentification non initialisée, toute demande sans en-tête d'autorisation a ses privilèges par défaut sur uid=0, gid=0, qui est root."

Wiz a surnommé la vulnérabilité OMIGOD et estime que jusqu'à 65 % des installations Linux sur Azure étaient vulnérables.

Microsoft a publié une version OMI corrigée (1.6.8.1). De plus, Microsoft a conseillé aux clients de mettre à jour manuellement OMI, voir les étapes suggérées par Microsoft ici.

Wiz suggère si vous avez OMI à l'écoute sur les ports 5985, 5986, 1270 pour limiter immédiatement l'accès réseau à ces ports afin de vous protéger de la vulnérabilité RCE (CVE-2021-38647).

via ZDNet