Kritiska sårbarheter i OMI kan påverka Linux-maskiner

Sårbarhet

Sårbarheter i Open Management Infrastructure (OMI), som används för vissa Microsoft Azure-tjänster, kan möjliggöra fjärrkörning av godtycklig kod. Sårbarheterna påverkar även virtuella Linux-maskiner och kan vara installerad utan användarens vetskap.[1]

Open management infrastructure (OMI) är en agent som används av vissa Microsoft Azure-tjänster. Flera sårbarheter i OMI kan påverka Linux-maskiner utan att användaren är medveten om att OMI används. OMI agenten installeras automatiskt om nedan angivna Azure-tjänster aktiveras. Detta kan ske utan användarens kännedom. [1,2]

Den mest kritiska sårbarheten, CVE-2021-38647, har fått CVSS-klassningen 9,8. Den kan göra det möjligt för en angripare att fjärrköra godtycklig kod på maskinen som root. Sårbarheten är mycket enkel att utnyttja. CERT-SE har tidigare uppmärksammat sårbarheten i artikeln om Microsofts månatliga säkerhetsuppdateringar för september 2021. [3,8]

Ytterligare tre sårbarheter, CVE-2021-38648, CVE-2021-38645 och CVE-2021-38649, gör det möjligt för en angripare med tillgång till systemet att öka sina behörigheter. [4,5,6]

Uppdatering 2021-09-18

Microsoft har uppdaterat sina rekommendation om sårbarheten och lagt till flera produkter, bl.a. Azure Stack och System Center Operations Manager (SCOM). Den stora skillnaden här är att dessa gäller inte bara för moln-anslutna servrar utan även on-prem-installationer. [7] Även en länk till rekommendationerna från CERT-EU är tillagda. [9]

Uppdatering 2021-09-20

Försök att aktivt utnyttja sårbarheterna har observerats. Botnätet Mirai överför sin kod och stänger port 5986 för att hindra andra angripare från att utnyttja samma sårbarhet. [10]

Påverkade produkter

Linux-maskiner som bl.a använder någon av följande tjänster är påverkade: (För full lista av drabbade produkter se Microsoft rekommendationer. [7])Azure AutomationAzure Automatic UpdateAzure Operations Management Suite (OMS)Azure Log AnalyticsAzure Configuration ManagementAzure DiagnosticsAzure Stack HubSystem Center Operations Manager (SCOM)

Rekommendationer

CERT-SE rekommenderar att snarast möjligt installera säkerhetsuppdateringarna. Microsoft har publicerat information om hur man manuellt uppdaterar sårbara enheter [7]. CERT-SE rekommenderar även att omedelbart begränsa tillgången till port 5985, 5986 och 1270 om OMI lyssnar på dessa.

Källor

[1] https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution

[2] https://github.com/microsoft/omi

[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647

[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645

[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648

[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649

[7] https://msrc-blog.microsoft.com/2021/09/16/additional-guidance-regarding-omi-vulnerabilities-within-azure-vm-management-extensions/

[8] https://www.cert.se/2021/09/microsofts-manatliga-sakerhetsuppdateringar-for-september-2021

[9] https://media.cert.europa.eu/static/SecurityAdvisories/2021/CERT-EU-SA2021-051.pdf

[10] https://securityaffairs.co/wordpress/122322/hacking/omigod-mirai-botnet.html