Azure OMIGOD漏洞在野利用

攻擊者利用Microsoft Azure OMIGOD漏洞釋放Mirai和挖礦機(jī)。

Open Management Infrastructure (OMI，開放管理基礎(chǔ)設(shè)施)是為Linux和Unix系統(tǒng)設(shè)計(jì)的類似Windows Management Infrastructure (WMI，Windows管理基礎(chǔ)設(shè)施)的開源工具，可以用于IT環(huán)境的監(jiān)控、資產(chǎn)管理和同步配置等。

漏洞概述

OMI 代理以最高權(quán)限r(nóng)oot運(yùn)行，任意用戶都可以使用Unix socket或通過HTTP API與之通信。研究人員在Microsoft Azure OMI中發(fā)現(xiàn)了4個(gè)0 day安全漏洞——OMIGOD，攻擊者利用這些漏洞可以使外部用戶或低權(quán)限用戶在目標(biāo)機(jī)器上遠(yuǎn)程執(zhí)行代碼或?qū)崿F(xiàn)權(quán)限提升：

CVE-2021-38647 (CVSS評分: 9.8) – OMI遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-38648 (CVSS評分: 7.8) – OMI權(quán)限提升漏洞

CVE-2021-38645 (CVSS評分: 7.8) - OMI權(quán)限提升漏洞

CVE-2021-38649 (CVSS評分: 7.0) - OMI權(quán)限提升漏洞

4個(gè)0 day漏洞中有3個(gè)是權(quán)限提升漏洞，攻擊者利用相關(guān)漏洞可以在安裝OMI的機(jī)器上獲得最高權(quán)限；第4個(gè)漏洞是遠(yuǎn)程代碼執(zhí)行漏洞，CVSS評分9.8分，也是這4個(gè)漏洞中最嚴(yán)重的。

漏洞在野利用

9月，微軟在微軟補(bǔ)丁日修復(fù)了這4個(gè)安全漏洞。但隨后就有研究人員發(fā)現(xiàn)攻擊者利用相關(guān)漏洞進(jìn)行僵尸網(wǎng)絡(luò)攻擊和傳播加密貨幣挖礦惡意軟件。

德國安全研究人員Germán Fernández稱，攻擊者掃描互聯(lián)網(wǎng)上暴露的Azure Linux虛擬機(jī)，然后發(fā)現(xiàn)有超過110臺服務(wù)器存在漏洞。然后利用相關(guān)的漏洞利用構(gòu)造僵尸網(wǎng)絡(luò)。

安全研究人員Kevin Beaumont還發(fā)現(xiàn)有攻擊者利用OMIGOD漏洞來攻擊有受影響的Azure機(jī)器來部署加密貨幣挖礦機(jī)payload。

如何確保Azure虛擬機(jī)安全

微軟已經(jīng)發(fā)布了漏洞補(bǔ)丁，同時(shí)微軟也正在向未啟用自動(dòng)更新的云客戶推送安全更新。Redmond稱，受影響的用戶必須安裝補(bǔ)丁，用戶也可以通過內(nèi)置的Linux包管理器手動(dòng)更新OMI代理，也可以使用平臺的包管理器工具來更新OMI，比如使用命令sudo apt-get install omi或sudo yum install omi。

更多技術(shù)細(xì)節(jié)參見：https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution

來源：https://thehackernews.com/2021/09/critical-flaws-discovered-in-azure-app.htm

參考及來源：https://www.bleepingcomputer.com/news/security/omigod-microsoft-azure-vms-exploited-to-drop-mirai-miners/