OMIGOD 漏洞使數(shù)以千計的Azure用戶面臨黑客攻擊
OMIGOD——微軟解決了開放管理基礎(chǔ)設(shè)施(OMI)軟件代理中的四個漏洞,這些漏洞可能會使Azure用戶面臨攻擊。
本文引用地址:http://butianyuan.cn/article/202208/437417.htm最近發(fā)布的2021年9月補丁星期二安全更新解決了開放管理基礎(chǔ)設(shè)施(OMI)軟件代理中的四個嚴重漏洞,這些漏洞統(tǒng)稱為OMIGOD,使Azure用戶面臨攻擊。
Wiz的研究團隊報告了這些漏洞,攻擊者可能會利用OMIGOD漏洞遠程執(zhí)行代碼,或提高在Azure上運行的脆弱Linux虛擬機的特權(quán)。
研究人員估計,數(shù)千名Azure客戶和數(shù)百萬端點可能面臨攻擊風(fēng)險。
“當(dāng)客戶在云端設(shè)置Linux虛擬機時,當(dāng)他們啟用某些Azure服務(wù)時,OMI代理會在他們不知情的情況下自動部署。專家發(fā)布的分析寫道,除非應(yīng)用補丁,否則攻擊者可以輕松利用這四個漏洞升級到根特權(quán)并遠程執(zhí)行惡意代碼(例如,加密文件以獲取贖金)?!睂<野l(fā)布的分析?!拔覀儼堰@四重奏零日命名為‘OMIGOD’,因為這是我們發(fā)現(xiàn)它們時的反應(yīng)。我們保守地估計,數(shù)千名Azure客戶和數(shù)百萬端點受到影響。在我們分析的一小部分Azure租戶樣本中,超過65%的人在不知不覺中面臨風(fēng)險?!?/p>
OMI是一個用C編寫的開源項目,允許用戶管理跨環(huán)境的配置,它用于各種Azure服務(wù),包括Azure自動化、Azure Insights。
最嚴重的缺陷是跟蹤為CVE-2021-38647的遠程代碼執(zhí)行缺陷,它獲得了9.8分的CVSS分數(shù)。
遠程、未經(jīng)身份驗證的攻擊者可以通過HTTPS向在脆弱系統(tǒng)上收聽OMI的端口發(fā)送特別制作的消息來利用該漏洞。
“使用單個數(shù)據(jù)包,攻擊者只需刪除身份驗證頭,就可以成為遠程計算機上的根。就這么簡單?!狈治隼^續(xù)說?!坝捎诤唵蔚臈l件語句編碼錯誤和未初始化的授權(quán)結(jié)構(gòu)相結(jié)合,任何沒有授權(quán)標(biāo)頭的請求的特權(quán)默認為uid=0,gid=0,這是根。當(dāng)OMI外部暴露HTTPS管理端口(5986/5985/1270)時,此漏洞允許遠程接管?!?/p>
微軟發(fā)布了補丁的OMI版本(1.6.8.1),為了降低利用CVE-2021-38647 RCE的攻擊風(fēng)險,IT巨頭建議限制在端口5985、5986、1270上收聽OMI的網(wǎng)絡(luò)訪問。
評論