Errores críticos identificados en Azure, que Microsoft instala en secreto en máquinas virtuales Linux

Máquinas virtuales Azure Linux

Como parte de sus actualizaciones del martes de parches, Microsoft abordó un cuarteto de vulnerabilidades de seguridad que podrían explotar a los enemigos para apuntar a los clientes de la nube de Azure y aumentar los privilegios, así como permitir la toma remota de sistemas vulnerables.

Lista de deficiencias, denominadas colectivamente Dios mío de los investigadores de Wiz, para influir en un agente de software poco conocido llamado Infraestructura de administración abierta, que se implementa automáticamente en muchos servicios de Azure:

  • CVE-2021-38647 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código en la infraestructura de gestión abierta
  • CVE-2021-38648 (Puntuación CVSS: 7,8) – Gestión de infraestructura abierta Vulnerabilidad de elevación de privilegios
  • CVE-2021-38645 (Puntuación CVSS: 7,8) – Gestión de infraestructura abierta Vulnerabilidad de elevación de privilegios
  • CVE-2021-38649 (Puntuación CVSS: 7,0) – Infraestructura de gestión abierta, aumentando las vulnerabilidades de autorización

Open Management Infrastructure (OMI) es el equivalente análogo de código abierto de Windows Management Infrastructure (WMI), pero diseñado para sistemas Linux y UNIX como CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux y Ubuntu, que permite supervisión, gestión de inventario y sincronización de configuración en entornos de TI.

Los clientes de Azure en equipos Linux, incluidos Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management y Azure Diagnostics, corren el riesgo de sufrir un posible abuso.

«Cuando los usuarios habilitan cualquiera de estos servicios populares, OMI se instala silenciosamente en su máquina virtual y se ejecuta con los privilegios más altos posibles», dijo Nir Ohfeld, investigador de seguridad de Wiz. «Esto se hace sin el consentimiento explícito o el conocimiento de los clientes. Los usuarios simplemente harán clic en Acepto recopilar registros e iniciarán sesión sin saberlo durante la configuración».

«Además de los clientes de la nube de Azure, otros clientes de Microsoft se ven afectados porque OMI se puede instalar de forma independiente en cualquier computadora con Linux y, a menudo, se usa en las instalaciones», agregó Ohfeld.

Debido a que OMI se ejecuta como la raíz con los privilegios más altos, las vulnerabilidades anteriores podrían ser explotadas por actores externos o usuarios con privilegios bajos para ejecutar código de forma remota en las computadoras de destino y escalar los privilegios, lo que permite a los actores de amenazas aprovechar los privilegios elevados para realizar ataques sofisticados.

Máquinas virtuales Azure Linux

La más crítica de las cuatro deficiencias es un error de ejecución de código remoto resultante de un puerto HTTPS expuesto en Internet, como 5986, 5985 o 1270, que permite a los atacantes obtener acceso inicial al entorno de Azure de destino y luego moverse lateralmente dentro del entorno. red.

«Esta es la vulnerabilidad de libro de texto de RCE que esperaría en la década de 1990: es muy inusual tener una cosecha en 2021 que pueda exponer millones de puntos finales», dijo Ohfeld. «Con un solo paquete, un atacante puede convertirse en root en una computadora remota simplemente eliminando el encabezado de autenticación. Es así de simple».

«OMI es solo un ejemplo de un agente de software ‘secreto’ que está preinstalado y se implementa silenciosamente en entornos de nube. Es importante tener en cuenta que estos agentes existen no solo en Azure sino también [Amazon Web Services] y [Google Cloud Platform] además.»

Actualizaciones: Microsoft publicó pautas adicionales para las vulnerabilidades de OMIGOD el jueves, instando a los clientes a aplicar las actualizaciones manualmente a medida que estén disponibles según lo programado. Los problemas de seguridad afectan a todas las versiones de OMI en 1.6.8-1.

Utiliza varias extensiones para administrar máquinas virtuales (VM) de Azure. [the OMI] marco para orquestar la administración de configuración y el inicio de sesión en máquinas virtuales Linux «, dijo el Centro de respuesta de seguridad de Microsoft en el boletín.» Las vulnerabilidades de ejecución remota de código solo afectan a los clientes que usan soluciones de administración de Linux (configuración SCOM local o Configuración de estado de Azure Automation o Configuración de extensión de estado deseado de Azure ) que permite la gestión OMI remota».

El desarrollo viene como paquetes defectuosos reportado escaneo masivo de servidores Azure basados ​​en Linux vulnerables a vulnerabilidades de ejecución remota de código para secuestrar sistemas vulnerables y lanzar otros ataques compatibles asunto público Abuso de prueba de concepto (PoC).

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática