首页 > 原创 > 正文

OMIGOD 漏洞使数以千计的Azure用户面临黑客攻击

最后更新 :2022.03.04

OMIGOD——微软解决了开放管理基础设施(OMI)软件代理中的四个漏洞,这些漏洞可能会使Azure用户面临攻击。

最近发布的2021年9月补丁星期二安全更新解决了开放管理基础设施(OMI)软件代理中的四个严重漏洞,这些漏洞统称为OMIGOD,使Azure用户面临攻击。

Wiz的研究团队报告了这些漏洞,攻击者可能会利用OMIGOD漏洞远程执行代码,或提高在Azure上运行的脆弱Linux虚拟机的特权。

研究人员估计,数千名Azure客户和数百万端点可能面临攻击风险。

“当客户在云端设置Linux虚拟机时,当他们启用某些Azure服务时,OMI代理会在他们不知情的情况下自动部署。专家发布的分析写道,除非应用补丁,否则攻击者可以轻松利用这四个漏洞升级到根特权并远程执行恶意代码(例如,加密文件以获取赎金)。”专家发布的分析。“我们把这四重奏零日命名为‘OMIGOD’,因为这是我们发现它们时的反应。我们保守地估计,数千名Azure客户和数百万端点受到影响。在我们分析的一小部分Azure租户样本中,超过65%的人在不知不觉中面临风险。”

OMI是一个用C编写的开源项目,允许用户管理跨环境的配置,它用于各种Azure服务,包括Azure自动化、Azure Insights。

最严重的缺陷是跟踪为CVE-2021-38647的远程代码执行缺陷,它获得了9.8分的CVSS分数。

远程、未经身份验证的攻击者可以通过HTTPS向在脆弱系统上收听OMI的端口发送特别制作的消息来利用该漏洞。

“使用单个数据包,攻击者只需删除身份验证头,就可以成为远程计算机上的根。就这么简单。”分析继续说。“由于简单的条件语句编码错误和未初始化的授权结构相结合,任何没有授权标头的请求的特权默认为uid=0,gid=0,这是根。当OMI外部暴露HTTPS管理端口(5986/5985/1270)时,此漏洞允许远程接管。”

微软发布了补丁的OMI版本(1.6.8.1),为了降低利用CVE-2021-38647 RCE的攻击风险,IT巨头建议限制在端口5985、5986、1270上收听OMI的网络访问。

- END -

看更多