OMIGOD ! Microsoft lämnade ett stort RCE-hål i sin standard Linux-konfiguration på Azure

Microsoft säger att de älskar Linux, men det verkar som att kärleken inte sträckte sig till att säkerställa att de inte gav superenkel root-åtkomst till hackare för Azure-installationer av operativsystemet.

Säkerhetsföretaget Wiz forskningsteam upptäckte nyligen en rad alarmerande sårbarheter i den föga kända programvaruagenten Open Management Infrastructure (OMI) som är inbäddad i många populära Azure-tjänster.

När kunder konfigurerar en virtuell Linux-maskin i sitt moln, inklusive på Azure, distribueras OMI-agenten automatiskt utan deras vetskap när de aktiverar vissa Azure-tjänster. Såvida inte en patch appliceras kan angripare enkelt utnyttja fyra sårbarheter för att eskalera till root-privilegier och fjärrexekvera skadlig kod (till exempel kryptera filer mot lösen).

Allt hackare måste göra för att få root-åtkomst på en fjärrdator skickas ett enda paket med autentiseringshuvudet borttaget.

Om OMI externt exponerar portarna 5986, 5985 eller 1270 är systemet sårbart.

"Tack vare kombinationen av ett enkelt kodningsfel för villkorliga uttalanden och en oinitierad autentiseringsstruktur har alla förfrågningar utan auktoriseringshuvud sina privilegier som standard till uid=0, gid=0, vilket är root."

Wiz kallade sårbarheten OMIGOD och tror att upp till 65 % av Linux-installationerna på Azure var sårbara.

Microsoft släppte en korrigerad OMI-version (1.6.8.1). Dessutom rådde Microsoft kunderna att manuellt uppdatera OMI, se de föreslagna stegen av Microsoft här.

Wiz föreslår om du har OMI som lyssnar på portarna 5985, 5986, 1270 att begränsa nätverksåtkomsten till dessa portar omedelbart för att skydda mot RCE-sårbarheten (CVE-2021-38647).

via ZDNet