THIÊN CHÚA! Microsoft để lại một lỗ hổng RCE lớn trong cấu hình Linux mặc định của họ trên Azure

Microsoft cho biết họ yêu thích Linux, nhưng có vẻ như tình yêu đó không kéo dài đến việc đảm bảo rằng họ không cấp quyền truy cập root quá dễ dàng cho tin tặc đối với các bản cài đặt Azure của hệ điều hành này.

Nhóm nghiên cứu của công ty bảo mật Wiz gần đây đã phát hiện ra một loạt lỗ hổng đáng báo động trong tác nhân phần mềm ít được biết đến có tên Cơ sở hạ tầng quản lý mở (OMI) được nhúng trong nhiều dịch vụ Azure phổ biến.

Khi khách hàng thiết lập một máy ảo Linux trên đám mây của họ, bao gồm cả trên Azure, tác nhân OMI sẽ tự động được triển khai mà họ không biết khi họ kích hoạt một số dịch vụ Azure nhất định. Trừ khi áp dụng bản vá, những kẻ tấn công có thể dễ dàng khai thác bốn lỗ hổng để leo lên đặc quyền root và thực thi mã độc từ xa (ví dụ: mã hóa tệp để đòi tiền chuộc).

Tất cả những gì tin tặc phải làm để có được quyền truy cập root trên một máy tính từ xa sẽ được gửi một gói tin duy nhất với tiêu đề xác thực đã bị loại bỏ.

Nếu OMI để lộ ra bên ngoài các cổng 5986, 5985 hoặc 1270 thì hệ thống sẽ dễ bị tấn công.

“Nhờ sự kết hợp giữa lỗi mã hóa câu lệnh điều kiện đơn giản và cấu trúc xác thực chưa được khởi tạo, bất kỳ yêu cầu nào không có tiêu đề Ủy quyền đều có các đặc quyền mặc định là uid = 0, gid = 0, là root.”

Wiz đã đặt tên cho lỗ hổng này là OMIGOD và tin rằng có tới 65% bản cài đặt Linux trên Azure dễ bị tấn công.

Microsoft đã phát hành phiên bản OMI vá lỗi (1.6.8.1). Ngoài ra, Microsoft khuyên khách hàng nên cập nhật thủ công OMI, hãy xem các bước do Microsoft gợi ý tại đây.

Wiz gợi ý nếu bạn có OMI đang nghe trên các cổng 5985, 5986, 1270 để giới hạn quyền truy cập mạng vào các cổng đó ngay lập tức để bảo vệ khỏi lỗ hổng RCE (CVE-2021-38647).

thông qua ZDNet