Η Microsoft λέει ότι λατρεύει το Linux, αλλά φαίνεται ότι η αγάπη δεν επεκτάθηκε στο να διασφαλίσει ότι δεν θα έδιναν εξαιρετικά εύκολη πρόσβαση root σε χάκερ για εγκαταστάσεις Azure του λειτουργικού συστήματος.

Η ερευνητική ομάδα της εταιρείας ασφαλείας Wiz ανακάλυψε πρόσφατα μια σειρά από ανησυχητικά τρωτά σημεία στον ελάχιστα γνωστό παράγοντα λογισμικού που ονομάζεται Open Management Infrastructure (OMI) και είναι ενσωματωμένη σε πολλές δημοφιλείς υπηρεσίες Azure.

Όταν οι πελάτες εγκαθιστούν μια εικονική μηχανή Linux στο cloud τους, συμπεριλαμβανομένου του Azure, ο παράγοντας OMI αναπτύσσεται αυτόματα χωρίς τη γνώση τους όταν ενεργοποιούν ορισμένες υπηρεσίες Azure. Εκτός εάν εφαρμοστεί μια ενημερωμένη έκδοση κώδικα, οι επιτιθέμενοι μπορούν εύκολα να εκμεταλλευτούν τέσσερις ευπάθειες για να κλιμακωθούν στα δικαιώματα root και να εκτελέσουν από απόσταση κακόβουλο κώδικα (για παράδειγμα, κρυπτογράφηση αρχείων για λύτρα).

Όλοι οι χάκερ πρέπει να κάνουν για να αποκτήσουν πρόσβαση root σε απομακρυσμένο μηχάνημα αποστέλλεται σε ένα μόνο πακέτο με την κεφαλίδα ελέγχου ταυτότητας που έχει αφαιρεθεί.

Εάν το OMI εκθέτει εξωτερικά τις θύρες 5986, 5985 ή 1270 τότε το σύστημα είναι ευάλωτο.

“Χάρη στο συνδυασμό ενός απλού λάθους κωδικοποίησης δήλωσης υπό όρους και ενός μη αρχικοποιημένου κειμένου, κάθε αίτημα χωρίς κεφαλίδα εξουσιοδότησης έχει τα προνόμιά του ως προεπιλογή σε uid = 0, gid = 0, που είναι root.”

Η ομάδα Wiz ονόμασε την ευπάθεια OMIGOD και πιστεύει ότι έως και το 65% των εγκαταστάσεων Linux στο Azure ήταν ευάλωτες.

Η Microsoft κυκλοφόρησε μια ενημερωμένη έκδοση OMI (1.6.8.1). Επιπλέον, η Microsoft συνέστησε στους πελάτες να ενημερώσουν μη αυτόματα το OMI, δείτε τα προτεινόμενα βήματα της Microsoft εδώ.

Η ομάδα Wiz προτείνει αν έχετε την OMI να παρακολουθεί τις θύρες 5985, 5986, 1270  , για να περιορίσετε την πρόσβαση στο δίκτυο σε αυτές τις θύρες αμέσως, προκειμένου να προστατευθείτε από την ευπάθεια RCE (CVE-2021-38647).