OMIGOD 漏洞使數以千計的Azure用戶面臨黑客攻擊

　　OMIGOD——微軟解決了開放管理基礎設施（OMI）軟件代理中的四個漏洞，這些漏洞可能會使Azure用戶面臨攻擊。

　　最近發布的2021年9月補丁星期二安全更新解決了開放管理基礎設施（OMI）軟件代理中的四個嚴重漏洞，這些漏洞統稱為OMIGOD，使Azure用戶面臨攻擊。

　　Wiz的研究團隊報告了這些漏洞，攻擊者可能會利用OMIGOD漏洞遠程執行代碼，或提高在Azure上運行的脆弱Linux虛擬機的特權。

　　研究人員估計，數千名Azure客戶和數百萬端點可能面臨攻擊風險。

　　“當客戶在云端設置Linux虛擬機時，當他們啟用某些Azure服務時，OMI代理會在他們不知情的情況下自動部署。專家發布的分析寫道，除非應用補丁，否則攻擊者可以輕松利用這四個漏洞升級到根特權并遠程執行惡意代碼（例如，加密文件以獲取贖金）。”專家發布的分析。“我們把這四重奏零日命名為‘OMIGOD’，因為這是我們發現它們時的反應。我們保守地估計，數千名Azure客戶和數百萬端點受到影響。在我們分析的一小部分Azure租戶樣本中，超過65%的人在不知不覺中面臨風險。”

　　OMI是一個用C編寫的開源項目，允許用戶管理跨環境的配置，它用于各種Azure服務，包括Azure自動化、Azure Insights。

　　最嚴重的缺陷是跟蹤為CVE-2021-38647的遠程代碼執行缺陷，它獲得了9.8分的CVSS分數。

　　遠程、未經身份驗證的攻擊者可以通過HTTPS向在脆弱系統上收聽OMI的端口發送特別制作的消息來利用該漏洞。

　　“使用單個數據包，攻擊者只需刪除身份驗證頭，就可以成為遠程計算機上的根。就這么簡單。”分析繼續說。“由于簡單的條件語句編碼錯誤和未初始化的授權結構相結合，任何沒有授權標頭的請求的特權默認為uid=0，gid=0，這是根。當OMI外部暴露HTTPS管理端口（5986/5985/1270）時，此漏洞允許遠程接管。”

　　微軟發布了補丁的OMI版本（1.6.8.1），為了降低利用CVE-2021-38647 RCE的攻擊風險，IT巨頭建議限制在端口5985、5986、1270上收聽OMI的網絡訪問。