OMIDO! Microsoft ha lasciato un grande buco RCE nella loro configurazione Linux predefinita su Azure

Microsoft afferma di amare Linux, ma sembra che l'amore non si sia esteso a garantire che non fornissero un accesso root semplicissimo agli hacker per le installazioni di Azure del sistema operativo.

Il team di ricerca della società di sicurezza Wiz ha scoperto di recente una serie di vulnerabilità allarmanti nell'agente software poco noto chiamato Open Management Infrastructure (OMI) integrato in molti servizi Azure popolari.

Quando i clienti configurano una macchina virtuale Linux nel proprio cloud, anche in Azure, l'agente OMI viene distribuito automaticamente a loro insaputa quando abilitano determinati servizi di Azure. A meno che non venga applicata una patch, gli aggressori possono facilmente sfruttare quattro vulnerabilità per passare ai privilegi di root ed eseguire in remoto codice dannoso (ad esempio, crittografare i file per ottenere un riscatto).

A tutto ciò che gli hacker devono fare per ottenere l'accesso come root su una macchina remota viene inviato un singolo pacchetto con l'intestazione di autenticazione rimossa.

Se OMI espone esternamente le porte 5986, 5985 o 1270, il sistema è vulnerabile.

"Grazie alla combinazione di un semplice errore di codifica dell'istruzione condizionale e di una struttura di autenticazione non inizializzata, qualsiasi richiesta senza un'intestazione di autorizzazione ha i suoi privilegi predefiniti su uid=0, gid=0, che è root."

Wiz ha soprannominato la vulnerabilità OMIGOD e ritiene che fino al 65% delle installazioni Linux su Azure fossero vulnerabili.

Microsoft ha rilasciato una versione OMI con patch (1.6.8.1). Inoltre, Microsoft ha consigliato ai clienti di aggiornare manualmente OMI, vedere i passaggi suggeriti da Microsoft

Wiz suggerisce se si dispone di OMI in ascolto sulle porte 5985, 5986, 1270 di limitare immediatamente l'accesso alla rete a tali porte per proteggersi dalla vulnerabilità RCE (CVE-2021-38647).

via ZDNet