OMIGOD 漏洞使數(shù)以千計的Azure用戶面臨黑客攻擊

　　OMIGOD——微軟解決了開放管理基礎(chǔ)設(shè)施（OMI）軟件代理中的四個漏洞，這些漏洞可能會使Azure用戶面臨攻擊。

　　最近發(fā)布的2021年9月補(bǔ)丁星期二安全更新解決了開放管理基礎(chǔ)設(shè)施（OMI）軟件代理中的四個嚴(yán)重漏洞，這些漏洞統(tǒng)稱為OMIGOD，使Azure用戶面臨攻擊。

　　Wiz的研究團(tuán)隊報告了這些漏洞，攻擊者可能會利用OMIGOD漏洞遠(yuǎn)程執(zhí)行代碼，或提高在Azure上運(yùn)行的脆弱Linux虛擬機(jī)的特權(quán)。

　　研究人員估計，數(shù)千名Azure客戶和數(shù)百萬端點可能面臨攻擊風(fēng)險。

　　“當(dāng)客戶在云端設(shè)置Linux虛擬機(jī)時，當(dāng)他們啟用某些Azure服務(wù)時，OMI代理會在他們不知情的情況下自動部署。專家發(fā)布的分析寫道，除非應(yīng)用補(bǔ)丁，否則攻擊者可以輕松利用這四個漏洞升級到根特權(quán)并遠(yuǎn)程執(zhí)行惡意代碼（例如，加密文件以獲取贖金）。”專家發(fā)布的分析。“我們把這四重奏零日命名為‘OMIGOD’，因為這是我們發(fā)現(xiàn)它們時的反應(yīng)。我們保守地估計，數(shù)千名Azure客戶和數(shù)百萬端點受到影響。在我們分析的一小部分Azure租戶樣本中，超過65%的人在不知不覺中面臨風(fēng)險。”

　　OMI是一個用C編寫的開源項目，允許用戶管理跨環(huán)境的配置，它用于各種Azure服務(wù)，包括Azure自動化、Azure Insights。

　　最嚴(yán)重的缺陷是跟蹤為CVE-2021-38647的遠(yuǎn)程代碼執(zhí)行缺陷，它獲得了9.8分的CVSS分?jǐn)?shù)。

　　遠(yuǎn)程、未經(jīng)身份驗證的攻擊者可以通過HTTPS向在脆弱系統(tǒng)上收聽OMI的端口發(fā)送特別制作的消息來利用該漏洞。

　　“使用單個數(shù)據(jù)包，攻擊者只需刪除身份驗證頭，就可以成為遠(yuǎn)程計算機(jī)上的根。就這么簡單。”分析繼續(xù)說。“由于簡單的條件語句編碼錯誤和未初始化的授權(quán)結(jié)構(gòu)相結(jié)合，任何沒有授權(quán)標(biāo)頭的請求的特權(quán)默認(rèn)為uid=0，gid=0，這是根。當(dāng)OMI外部暴露HTTPS管理端口（5986/5985/1270）時，此漏洞允許遠(yuǎn)程接管。”

　　微軟發(fā)布了補(bǔ)丁的OMI版本（1.6.8.1），為了降低利用CVE-2021-38647 RCE的攻擊風(fēng)險，IT巨頭建議限制在端口5985、5986、1270上收聽OMI的網(wǎng)絡(luò)訪問。