OMIGOD 漏洞使数以千计的Azure用户面临黑客攻击

OMIGOD 漏洞使数以千计的Azure用户面临黑客攻击
2021-09-18 11:21:00
 
来源:
 
点击:54

月16日,微软修补了Open Management Infrastructure (OMI)软件代理中的四个漏洞,这些漏洞可能会使Azure用户遭受攻击。最近发布的2021年9月周二补丁安全更新,修补了开放管理基础设施(OMI)软件代理中的四个严

月16日,微软修补了Open Management Infrastructure (OMI)软件代理中的四个漏洞,这些漏洞可能会使Azure用户遭受攻击。
 
 
 
最近发布的2021年9月周二补丁安全更新,修补了开放管理基础设施(OMI)软件代理中的四个严重漏洞,统称为OMIGOD,这些漏洞使Azure用户遭受攻击。以下是OMIGOD的缺陷列表:
 
CVE-2021-38647 -未经认证的RCE作为根用户(严重级别:9.8)
 
CVE-2021-38648 -特权升级漏洞(严重级别:7.8)
 
CVE-2021-38645 -特权升级漏洞(严重级别:7.8)
 
CVE-2021-38649 -特权升级漏洞(严重性:7.0)
 
Wiz的研究团队报告了这些漏洞,攻击者可以利用OMIGOD漏洞远程执行代码或提升 Azure上运行的易受攻击的Linux虚拟机的权限。
 
研究人员估计,数以千计的Azure客户和数百万的终端可能面临被攻击的风险。
 
“当客户在他们的云中设置 Linux 虚拟机时,在他们启用某些Azure服务时,OMI代理会在他们不知情的情况下自动部署。除非打上补丁,否则攻击者很容易利用这四个漏洞升级为 root 权限并远程执行恶意代码(例如,加密文件以获取赎金)。” 专家发表的分析称。
 
“我们将这四组零日漏洞命名为“OMIGOD”,保守估计数以千计的Azure客户和数百万个端点受到影响。在我们分析的一小部分Azure租户样本中,超过65%的租户在不知不觉中处于危险之中。”
 
OMI是一个用C语言编写的开源项目,允许用户跨环境管理配置,它被用于各种Azure服务,包括Azure自动化、Azure Insights。
 
最严重的漏洞是一个远程代码执行漏洞,被追踪为CVE-2021-38647,它的CVSS得分为9.8。
 
未经身份验证的远程攻击者可以通过 HTTPS 向侦听易受攻击系统上的OMI的端口发送特制消息来利用此漏洞。
 
“使用单个数据包,攻击者只需删除身份验证标头即可成为远程机器上的 root。就这么简单。由于简单的条件语句编码错误和未初始化的auth结构的组合,任何没有 Authorization 标头的请求的权限默认为 uid=0、gid=0,即 root。当 OMI 对外暴露 HTTPS管理端口 (5986/5985/1270)时,此漏洞允许远程接管。”
 
Microsoft 发布了修补的OMI 版本(1.6.8.1),为了降低利用CVE-2021-38647 RCE进行攻击的风险,IT巨头建议限制对OMI侦听端口5985、5986、1270的网络访问。
 
参读链接:
 
https://securityaffairs.co/wordpress/122254/hacking/omigod-flaws.html
 
本文作者:中科天齐软件安全中心, 转载请注明来自FreeBuf.COM
 

 

发布者:付晓敏   点击数:1057   发布时间:2024-03-28 10:50:39   更新时间:2024-03-28 10:50:39