Microsoft在Linux虚拟机上秘密安装的Azure应用程序中发现关键缺陷

微软周二在补丁周二更新中解决了四个安全漏洞，这些漏洞可能被对手滥用，以针对Azure云客户，提升特权，并允许远程接管易受攻击的系统。

Wiz的研究人员将缺陷列表统称为OMIGOD

• CVE-2021-38647（CVSS分数：9.8）-开放式管理基础设施远程代码执行漏洞

  CVE-2021-38648（CVSS分数：7.8）-开放管理基础设施提升权限漏洞

  CVE-2021-38645（CVSS分数：7.8）-开放管理基础设施提升权限漏洞

  CVE-2021-38649（CVSS分数：7.0）-开放管理基础设施提升权限漏洞

  开放管理基础设施（OMI）是一种类似于Windows管理基础设施（WMI）的开源软件，但设计用于Linux和UNIX系统，如CentOS、Debian、Oracle Linux、Red Hat Enterprise Linux Server、SUSE Linux和Ubuntu，可用于监控、库存管理、，以及跨IT环境同步配置

  Linux机器上的Azure客户，包括Azure Automation、Azure Automatic Update、Azure Operations Management Suite（OMS）、Azure日志分析、Azure配置管理和Azure Diagnostics的用户，都有可能被利用。

“当用户启用这些流行服务中的任何一项时，OMI都会以尽可能高的权限静默地安装在他们的虚拟机上运行，”Wiz安全研究员尼尔·奥菲尔德说。“这种情况在客户未明确同意或不知情的情况下发生。用户只需在设置过程中单击“同意”即可记录收集，并且在不知不觉中选择了登录。”

“除了Azure云客户之外，其他微软客户也受到影响，因为OMI可以独立安装在任何Linux机器上，并且经常在本地使用，”Ohfeld补充道

由于OMI代理以具有最高权限的root用户身份运行，外部参与者或低权限用户可能会滥用上述漏洞，在目标机器上远程执行代码并提升权限，从而使威胁参与者能够利用提升的权限发起复杂的攻击

这四个漏洞中最关键的一个是远程代码执行漏洞，该漏洞源于暴露于互联网的HTTPS端口，如5986、5985或1270，允许攻击者获得对目标Azure环境的初始访问权，然后在网络中横向移动

Ohfeld说：“这是一个教科书中的RCE漏洞，你可能会在90和8211中看到它，这是非常罕见的，在2021中有一个作物可以暴露数百万个端点。”“对于单个数据包，攻击者只需删除身份验证头即可成为远程计算机上的root用户。就是这么简单。”

“OMI只是在云环境中预安装并静默部署的‘秘密’软件代理的一个例子。需要注意的是，这些代理不仅存在于Azure中，而且存在于[Amazon Web Services]和[Google cloud Platform]中。”

微软周四发布了有关OMIGOD漏洞的附加指南，敦促客户在按照此处概述的时间表可用时手动应用更新。安全问题影响1.6.8-1以下的所有OMI版本

“几个Azure虚拟机（VM）管理扩展使用[OMI]框架在Linux虚拟机上协调配置管理和日志收集，”微软安全响应中心在一份公告中说。“远程代码执行漏洞仅影响使用Linux管理解决方案（本地SCOM或Azure Automation State Configuration或Azure Desired State Configuration extension）的客户，该解决方案支持远程OMI管理。”

这一发展正值坏数据包报告称，大量扫描易受远程代码执行漏洞攻击的基于Azure Linux的服务器，试图劫持易受攻击的系统并发起进一步的攻击，而公开发布的概念验证（PoC）漏洞又助长了这种攻击