in

Errores críticos detectados en la aplicación de Azure que Microsoft instala en secreto en máquinas virtuales Linux


Máquinas virtuales Linux de Azure

Como parte de las actualizaciones del parche del martes, Microsoft solucionó el martes un cuarteto de vulnerabilidades de seguridad que los adversarios podrían utilizar indebidamente para atacar a los clientes de la nube de Azure y aumentar los permisos, así como para permitir la toma de control remota de sistemas vulnerables.

La lista de defectos, llamada en resumen OMIGOD por investigadores de Wiz, se refieren a un agente de software poco conocido llamado Open Management Infrastructure, que se aprovisiona automáticamente en muchos servicios de Azure:

  • CVE-2021-38647 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código en la infraestructura de gestión abierta
  • CVE-2021-38648 (Puntaje CVSS: 7.8) – Elevación de la vulnerabilidad de seguridad de privilegios en la infraestructura de administración abierta
  • CVE-2021-38645 (Puntaje CVSS: 7.8) – Elevación de la vulnerabilidad de seguridad de privilegios en la infraestructura de administración abierta
  • CVE-2021-38649 (Puntaje CVSS: 7.0) – Elevación de la vulnerabilidad de seguridad de privilegios en la infraestructura de administración abierta

Open Management Infrastructure (OMI) es un equivalente de código abierto análogo a Windows Management Infrastructure (WMI), pero fue desarrollado para sistemas Linux y UNIX como CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux y Ubuntu y permite el monitoreo , gestión de inventarios y sincronización de configuraciones en entornos de TI.

Los clientes de Azure en máquinas Linux, incluidos los usuarios de Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management y Azure Diagnostics, están en una posible explotación.

«Cuando los usuarios activan uno de estos servicios populares, OMI se instala en segundo plano en su máquina virtual y se ejecuta con los mayores privilegios posibles», dijo el investigador de seguridad de Wiz, Nir Ohfeld. «Esto se hace sin el consentimiento expreso o el conocimiento de los clientes. Durante la configuración, los usuarios simplemente hacen clic en» Aceptar «para aceptar la recopilación de registros y, sin saberlo, han iniciado sesión».

«Además de los clientes de la nube de Azure, otros clientes de Microsoft también se ven afectados, ya que OMI se puede instalar de forma independiente en cualquier computadora Linux y, a menudo, se usa en las instalaciones», agregó Ohfeld.

Dado que el agente OMI se ejecuta como root con los privilegios más altos, los actores externos o los usuarios con pocos privilegios pueden abusar de las vulnerabilidades mencionadas anteriormente para ejecutar de forma remota el código en las computadoras de destino y extender los privilegios, dando así a los actores de amenazas los privilegios elevados para llevar a cabo sofisticados. ataques.

Máquinas virtuales Linux de Azure

El más crítico de los cuatro errores es un error de ejecución de código remoto que resulta de un puerto HTTPS expuesto a Internet, como 5986, 5985 o 1270, que permite a los atacantes obtener acceso inicial a un entorno de Azure de destino y luego ingresar a la red para moverse hacia los lados.

«Esta es una vulnerabilidad de RCE de libro de texto que uno esperaría en la década de 1990; es muy inusual que surja una en 2021 que pueda exponer millones de puntos finales», dijo Ohfeld. «Con un solo paquete, un atacante puede convertirse en root en una máquina remota simplemente eliminando el encabezado de autenticación. Es así de simple».

“OMI es solo un ejemplo de un agente de software ‘secreto’ que está preinstalado en entornos de nube y se implementa en segundo plano. Es importante tener en cuenta que estos agentes no solo están disponibles en Azure sino también en [Amazon Web Services] y [Google Cloud Platform] como.»

Actualizar: Microsoft publicó una guía adicional para las vulnerabilidades de OMIGOD el jueves y pidió a los clientes que aplicaran manualmente las actualizaciones tan pronto como estén disponibles de acuerdo con el programa que se describe aquí. Los problemas de seguridad afectan a todas las versiones de OMI bajo 1.6.8-1.

«Uso de varias extensiones de administración para Azure Virtual Machine (VM) [the OMI] Marco para orquestar la gestión de la configuración y la recopilación de registros en máquinas virtuales Linux «, dice un boletín de la extensión de configuración del Centro de respuesta de seguridad de Microsoft) que permite la gestión remota de OMI».

El desarrollo viene como Bad Packets informó Escaneos masivos de servidores basados ​​en Azure Linux propensos a fallas en la ejecución remota de código para secuestrar sistemas vulnerables y llevar a cabo más ataques que, a su vez, son el objetivo del lanzamiento público de un exploit de prueba de concepto (PoC).



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Pruebas de vulnerabilidad | Mejores técnicas de evaluación de riesgos

Una herramienta para generar múltiples tipos de archivos de robo de hash NTLMv2