OMIGOD ! Microsoft etterlot et stort RCE-hull i standard Linux-konfigurasjonen på Azure

Microsoft sier de elsker Linux, men det ser ut til at kjærligheten ikke strekker seg til å sikre at de ikke ga superenkel root-tilgang til hackere for Azure-installasjoner av operativsystemet.

Sikkerhetsselskapet Wiz sitt forskningsteam nylig oppdaget en rekke alarmerende sårbarheter i den lite kjente programvareagenten kalt Open Management Infrastructure (OMI) som er innebygd i mange populære Azure-tjenester.

Når kunder setter opp en virtuell Linux-maskin i skyen deres, inkludert på Azure, distribueres OMI-agenten automatisk uten deres viten når de aktiverer visse Azure-tjenester. Med mindre en oppdatering blir brukt, kan angripere enkelt utnytte fire sårbarheter for å eskalere til root-privilegier og eksternt kjøre ondsinnet kode (for eksempel kryptering av filer for løsepenger).

Alt hackere må gjøre for å få root-tilgang på en ekstern maskin sendes en enkelt pakke med autentiseringshodet fjernet.

Hvis OMI eksponerer portene 5986, 5985 eller 1270 eksternt, er systemet sårbart.

"Takket være kombinasjonen av en enkel kodefeil for betinget setning og en uinitialisert autentiseringsstruktur, har enhver forespørsel uten en autorisasjonsoverskrift standardrettighetene til uid=0, gid=0, som er root."

Wiz kalte sårbarheten OMIGOD og mener opptil 65 % av Linux-installasjonene på Azure var sårbare.

Microsoft ga ut en oppdatert OMI-versjon (1.6.8.1). I tillegg rådet Microsoft kunder til å oppdatere OMI manuelt, se de foreslåtte trinnene fra Microsoft her.

Wiz foreslår at hvis du har OMI-lytting på portene 5985, 5986, 1270, begrenser du nettverkstilgangen til disse portene umiddelbart for å beskytte mot RCE-sårbarheten (CVE-2021-38647).

av ZDNet