Användare av Azure som kör virtuella Linux-datorer kanske inte är medvetna om att de har en allvarligt sårbar hanteringsprogramvara installerad på sin dator av Microsoft, som kan fjärrexploateras på ett otroligt överraskande och lika dumt sätt.
Som beskrivs av Wiz.io, som hittade fyra sårbarheter i Microsofts Open Management Infrastructure-projekt, skulle en angripare kunna få root-åtkomst på en fjärrdator om de skickade ett enda paket med autentiseringshuvudet borttaget.
“Det här är en RCE-sårbarhet i läroboken som du förväntar dig att se på 90-talet – det är högst ovanligt att ha en odling 2021 som kan avslöja miljontals slutpunkter”, skrev Wiz säkerhetsforskare Nir Ohfeld.
“Tack vare kombinationen av ett enkelt kodningsfel för villkorliga uttalanden och en oinitierad autentiseringsstruktur har alla förfrågningar utan auktoriseringshuvud sina privilegier som standard till uid=0, gid=0, vilket är root.”
Om OMI externt exponerar port 5986, 5985 eller 1270 är systemet sårbart.
“Detta är standardkonfigurationen när den installeras fristående och i Azure Configuration Management eller System Center Operations Manager. Lyckligtvis exponerar inte andra Azure-tjänster (som Log Analytics) den här porten, så omfattningen är begränsad till lokal behörighetseskalering i dessa situationer, ” tillade Ohfeld.
Problemet för användare, som beskrivs av Ohfeld, är att OMI installeras tyst när användare installerar loggsamling, har brist på offentlig dokumentation och körs med root-privilegier. Wiz fann att över 65 % av Azure-kunderna som kör Linux som den tittade på var sårbara.
I sin rådgivning om de fyra CVE som släpptes idag – CVE-2021-38647 betygsatt 9,8, CVE-2021-38648 betygsatt 7,8, CVE-2021-38645 betygsatt 7,8 och CVE-2021-38649 betygsatt 7,0 – Microsoft sa att fixen sårbarheterna skickades till sin OMI-kod den 11 augusti för att ge sina partners tid att uppdatera innan de detaljerade problemen.
Användare bör se till att de kör OMI version 1.6.8.1, med Microsoft som lägger till instruktioner i sina råd för att dra ner OMI-uppdateringarna från sina förråd om maskiner inte är uppdaterade ännu.
“System Center-distributioner av OMI löper större risk eftersom Linux-agenterna har fasats ut. Kunder som fortfarande använder System Center med OMI-baserat Linux kan behöva uppdatera OMI-agenten manuellt,” varnade Wiz.
Sårbarheterna var en del av Microsofts senaste Patch Tuesday.
Liksom många sårbarheter nuförtiden måste ett catchy namn knytas till dem, i det här fallet kallade Wiz dem OMIGOD.
