OMIGOD 漏洞使數以千計的Azure用戶(hù)面臨黑客攻擊

　　OMIGOD——微軟解決了開(kāi)放管理基礎設施（OMI）軟件代理中的四個(gè)漏洞，這些漏洞可能會(huì )使Azure用戶(hù)面臨攻擊。

　　最近發(fā)布的2021年9月補丁星期二安全更新解決了開(kāi)放管理基礎設施（OMI）軟件代理中的四個(gè)嚴重漏洞，這些漏洞統稱(chēng)為OMIGOD，使Azure用戶(hù)面臨攻擊。

　　Wiz的研究團隊報告了這些漏洞，攻擊者可能會(huì )利用OMIGOD漏洞遠程執行代碼，或提高在Azure上運行的脆弱Linux虛擬機的特權。

　　研究人員估計，數千名Azure客戶(hù)和數百萬(wàn)端點(diǎn)可能面臨攻擊風(fēng)險。

　　“當客戶(hù)在云端設置Linux虛擬機時(shí)，當他們啟用某些Azure服務(wù)時(shí)，OMI代理會(huì )在他們不知情的情況下自動(dòng)部署。專(zhuān)家發(fā)布的分析寫(xiě)道，除非應用補丁，否則攻擊者可以輕松利用這四個(gè)漏洞升級到根特權并遠程執行惡意代碼（例如，加密文件以獲取贖金）?！睂?zhuān)家發(fā)布的分析?！拔覀儼堰@四重奏零日命名為‘OMIGOD’，因為這是我們發(fā)現它們時(shí)的反應。我們保守地估計，數千名Azure客戶(hù)和數百萬(wàn)端點(diǎn)受到影響。在我們分析的一小部分Azure租戶(hù)樣本中，超過(guò)65%的人在不知不覺(jué)中面臨風(fēng)險?！?/p>

　　OMI是一個(gè)用C編寫(xiě)的開(kāi)源項目，允許用戶(hù)管理跨環(huán)境的配置，它用于各種Azure服務(wù)，包括Azure自動(dòng)化、Azure Insights。

　　最嚴重的缺陷是跟蹤為CVE-2021-38647的遠程代碼執行缺陷，它獲得了9.8分的CVSS分數。

　　遠程、未經(jīng)身份驗證的攻擊者可以通過(guò)HTTPS向在脆弱系統上收聽(tīng)OMI的端口發(fā)送特別制作的消息來(lái)利用該漏洞。

　　“使用單個(gè)數據包，攻擊者只需刪除身份驗證頭，就可以成為遠程計算機上的根。就這么簡(jiǎn)單?！狈治隼^續說(shuō)?！坝捎诤?jiǎn)單的條件語(yǔ)句編碼錯誤和未初始化的授權結構相結合，任何沒(méi)有授權標頭的請求的特權默認為uid=0，gid=0，這是根。當OMI外部暴露HTTPS管理端口（5986/5985/1270）時(shí)，此漏洞允許遠程接管?！?/p>

　　微軟發(fā)布了補丁的OMI版本（1.6.8.1），為了降低利用CVE-2021-38647 RCE的攻擊風(fēng)險，IT巨頭建議限制在端口5985、5986、1270上收聽(tīng)OMI的網(wǎng)絡(luò )訪(fǎng)問(wèn)。