Уязвимости в OMI угрожают Linux-машинам в Microsoft Azure

В новостях появились сообщения о достаточно опасной практике, применяемой в Microsoft Azure. Дело в том, что при создании виртуальной машины под управлением Linux и выборе некоторых сервисов Azure платформа автоматически устанавливает на машину агент управления Open Management Infrastructure (OMI), не ставя в известность пользователя. И все было бы не так плохо, если бы не два факта: во-первых, в агенте есть известные уязвимости, а во-вторых, механизм автоматического обновления этого агента в Azure не предусмотрен. Пока Microsoft не решит эту проблему на своей стороне, компаниям, использующим виртуальные Linux-машины в Azure, необходимо принимать меры самостоятельно.

Какие уязвимости есть в Open Management Infrastructure и как они могут быть использованы для атаки

В сентябре в ежемесячный «вторник патчей» Microsoft выпустила заплатки для четырех уязвимостей в агенте Open Management Infrastructure. Одна из них, CVE-2021-38647, допускает удаленное исполнение вредоносного кода (RCE) и является критической, а три остальных, CVE-2021-38648, CVE-2021-38645 и CVE-2021-38649, могут быть использованы для повышения привилегий (LPE) в многоступенчатых атаках, когда злоумышленники заранее проникают в сеть жертвы. Этим трем присвоен высокий рейтинг по шкале CVSS.

OMI автоматически устанавливается в систему, когда клиенты Microsoft Azure создают виртуальную машину под Linux и выбирают ряд сервисов. Среди этих сервисов точно есть Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics — но этот список, скорее всего, не полный. Сам по себе агент Open Management Infrastructure имеет наивысшие привилегии в системе.  Помимо всего прочего, он служит для сбора статистики и синхронизации конфигурации, поэтому чаще всего доступен из Интернета сразу по нескольким HTTP-портам (в зависимости от выбранных сервисов).

В частности, если он слушает порт 5986, то злоумышленники потенциально могут воспользоваться уязвимостью CVE-2021-38647 для удаленного исполнения вредоносного кода. А если OMI доступен для удаленного управления (по портам 5986, 5985 или 1270), то они могут использовать ту же уязвимость для получения доступа ко всему сетевому окружению в Azure. По мнению экспертов, воспользоваться данной уязвимостью крайне просто.

This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com/iIHNyqgew4

— Ami Luttwak (@amiluttwak) September 14, 2021

Эксплуатация этих уязвимостей пока не зарегистрирована, но поскольку уже опубликованы данные о том, насколько легко это сделать, ждать реальных атак осталось недолго.

Как защититься от атак через OMI в Azure?

Компания Microsoft выпустила патч для всех четырех уязвимостей. Однако автоматически OMI обновляется далеко не всегда. Так что рекомендуется проверить, какая версия используется в вашей виртуальной Linux-машине, и если она вышла раньше чем 1.6.8.1 соедует обновить агент Open Management Infrastructure. Как это сделать, можно узнать из описания уязвимости CVE-2021-38647.

Кроме того, эксперты рекомендуют ограничить сетевой доступ к портам 5985, 5986 и 1270, чтобы исключить возможность эксплуатации RCE.