OMIGOD ! Microsoft liet een groot RCE-gat achter in hun standaard Linux-configuratie op Azure

Microsoft zegt dat ze dol zijn op Linux, maar het lijkt erop dat de liefde zich niet uitstrekte tot het garanderen dat ze hackers geen supergemakkelijke roottoegang gaven voor Azure-installaties van het besturingssysteem.

Het onderzoeksteam van beveiligingsbedrijf Wiz ontdekte onlangs een reeks alarmerende kwetsbaarheden in de weinig bekende software-agent genaamd Open Management Infrastructure (OMI) die is ingebed in veel populaire Azure-services.

Wanneer klanten een virtuele Linux-machine in hun cloud instellen, ook op Azure, wordt de OMI-agent automatisch geïmplementeerd zonder hun medeweten wanneer ze bepaalde Azure-services inschakelen. Tenzij een patch wordt toegepast, kunnen aanvallers gemakkelijk vier kwetsbaarheden misbruiken om te escaleren naar rootrechten en op afstand kwaadaardige code uit te voeren (bijvoorbeeld door bestanden te versleutelen voor losgeld).

Alles wat hackers hoeven te doen om root-toegang op een externe machine te krijgen, wordt een enkel pakket verzonden met de authenticatieheader verwijderd.

Als OMI extern poorten 5986, 5985 of 1270 vrijgeeft, is het systeem kwetsbaar.

"Dankzij de combinatie van een eenvoudige codeerfout in een voorwaardelijke instructie en een niet-geïnitialiseerde auth-struct, heeft elk verzoek zonder een Authorization-header zijn privileges standaard op uid=0, gid=0, wat root is."

Wiz noemde de kwetsbaarheid OMIGOD en gelooft dat tot 65% van de Linux-installaties op Azure kwetsbaar waren.

Microsoft heeft een gepatchte OMI-versie (1.6.8.1) uitgebracht. Daarnaast adviseerde Microsoft klanten om OMI handmatig bij te werken, zie de voorgestelde stappen van Microsoft hier.

Wiz stelt voor dat als u OMI op poorten 5985, 5986, 1270 laat luisteren om de netwerktoegang tot die poorten onmiddellijk te beperken ter bescherming tegen de RCE-kwetsbaarheid (CVE-2021-38647).

via ZDNet