Pojawiły się informacje o dość niebezpiecznej praktyce na platformie Microsoft Azure: gdy użytkownik tworzy maszynę wirtualną z systemem Linux i włącza określone usługi platformy Azure, automatycznie instaluje ona na maszynie agenta infrastruktury Open Management Infrastructure (OMI). Użytkownik o tym nie wie.
Potajemna instalacja czegokolwiek brzmi przerażająco. Sytuacja nie byłaby jednak aż tak zła, gdyby nie dwa problemy: po pierwsze, agent ma znane luki w zabezpieczeniach, a po drugie, platforma Azure nie ma mechanizmu automatycznej aktualizacji. Dopóki firma Microsoft nie rozwiąże tego problemu po swojej stronie, organizacje korzystające z maszyn wirtualnych z systemem Linux na platformie Azure muszą proaktywnie podjąć działania.
Luki w zabezpieczeniach infrastruktury Open Management i jak mogą zostać wykorzystane
„Patch Tuesday” to termin, którym Microsoft określa każdy drugi wtorek miesiąca — udostępnia wtedy aktualizacje dla systemów Windows. We wrześniu wydane zostały aktualizacje zabezpieczeń eliminujące cztery luki w zabezpieczeniach agenta Open Management Infrastructure. Jedna z tych luk, CVE-2021-38647, umożliwia zdalne wykonanie kodu (RCE) i została uznana za krytyczną, a pozostałe trzy, CVE-2021-38648, CVE-2021-38645 i CVE-2021-38649, mogą być wykorzystane do eskalacji uprawnień w atakach wieloetapowych, jeśli atakujący zdołają wcześniej przeniknąć do sieci ofiary. Trzy ostatnie luki w zabezpieczeniach otrzymały wysoki wskaźnik w klasyfikacji CVSS.
Gdy użytkownicy platformy Microsoft Azure tworzą maszynę wirtualną z systemem Linux i włączają na niej usługi, w systemie automatycznie wdrażana jest infrastruktura OMI. Wśród tych usług znajdują się m.in. Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management i Azure Diagnostics, a lista ta jest o wiele dłuższa. Agent infrastruktury Open Management Infrastructure sam w sobie ma najwyższe uprawnienia w systemie, a ponieważ do jego zadań należy zbieranie statystyk i synchronizacja konfiguracji, jest on ogólnie dostępny z internetu za pośrednictwem różnych portów HTTP, w zależności od włączonych usług.
Jeśli na przykład portem nasłuchiwania jest 5986, osoby atakujące mogą potencjalnie wykorzystać lukę CVE-2021-38647 i zdalnie wykonać złośliwy kod. Jeśli infrastrukturą OMI można zdalnie zarządzać (przez port 5986, 5985 lub 1270), osoby postronne mogą wykorzystać tę lukę, aby uzyskać dostęp do całego sąsiedztwa sieci na platformie Azure. Eksperci twierdzą, że lukę tę można bardzo łatwo wykorzystać.
This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com/iIHNyqgew4
— Ami Luttwak (@amiluttwak) September 14, 2021
Do tej pory nie zgłoszono żadnych ataków na wolności, ale z uwagi na to, jak wiele dostępnych jest informacji na temat tego, jak łatwo można wykorzystać te luki, prawdopodobnie taki stan rzeczy nie potrwa długo.
Jak się chronić
Firma Microsoft wydała poprawki dla wszystkich czterech luk w zabezpieczeniach. Jednak infrastruktura OMI nie zawsze aktualizuje się automatycznie, dlatego należy sprawdzić, która wersja znajduje się aktualnie na maszynie wirtualnej z systemem Linux. Jeśli jest starsza niż 1.6.8.1, zaktualizuj agenta Open Management Infrastructure. Aby zobaczyć, jak to zrobić, zapoznaj się z opisem luki w zabezpieczeniach CVE-2021-38647.
Eksperci zalecają również ograniczenie dostępu do sieci do portów 5985, 5986 i 1270, aby uniemożliwić komukolwiek zdalne wykonanie kodu.