ОМИГОД ! Microsoft залишила велику діру RCE у своїй конфігурації Linux за замовчуванням на Azure

Microsoft каже, що вони люблять Linux, але, схоже, ця любов не поширювалася на те, щоб вони не надавали суперлегкий root-доступ хакерам для встановлення ОС Azure.

Дослідницька група охоронної компанії Wiz нещодавно виявив низку тривожних вразливостей у маловідомому програмному агенті під назвою Open Management Infrastructure (OMI), який вбудований у багато популярних служб Azure.

Коли клієнти налаштовують віртуальну машину Linux у своїй хмарі, зокрема в Azure, агент OMI автоматично розгортається без їхнього відома, коли вони вмикають певні служби Azure. Якщо не буде встановлено виправлення, зловмисники можуть легко використати чотири вразливості, щоб отримати права root і віддалено виконувати шкідливий код (наприклад, шифрувати файли для отримання викупу).

Все, що потрібно зробити хакерам, щоб отримати root-доступ на віддаленій машині, надсилається один пакет із видаленим заголовком аутентифікації.

Якщо OMI зовні відкриває порти 5986, 5985 або 1270, система вразлива.

«Завдяки комбінації простої помилки кодування умовного оператора та неініціалізованої структури аутентифікації, будь-який запит без заголовка авторизації має свої привілеї за замовчуванням: uid=0, gid=0, що є root».

Wiz назвав уразливість OMIGOD і вважає, що до 65% установок Linux на Azure були вразливими.

Microsoft випустила виправлену версію OMI (1.6.8.1). Крім того, Microsoft радила клієнтам оновлювати OMI вручну, дивіться кроки, запропоновані Microsoft тут.

Wiz пропонує, якщо у вас є OMI прослуховування портів 5985, 5986, 1270, негайно обмежити доступ до мережі до цих портів, щоб захистити від уразливості RCE (CVE-2021-38647).

через ZDNet