Уязвимости в OMI угрожают Linux-машинам в Microsoft Azure

Агент Open Management Infrastructure с четырьмя уязвимостями устанавливается в виртуальные Linux-машины в Microsoft Azure.

В новостях появились сообщения о достаточно опасной практике, применяемой в Microsoft Azure. Дело в том, что при создании виртуальной машины под управлением Linux и выборе некоторых сервисов Azure платформа автоматически устанавливает на машину агент управления Open Management Infrastructure (OMI), не ставя в известность пользователя. И все было бы не так плохо, если бы не два факта: во-первых, в агенте есть известные уязвимости, а во-вторых, механизм автоматического обновления этого агента в Azure не предусмотрен. Пока Microsoft не решит эту проблему на своей стороне, компаниям, использующим виртуальные Linux-машины в Azure, необходимо принимать меры самостоятельно.

Какие уязвимости есть в Open Management Infrastructure и как они могут быть использованы для атаки

В сентябре в ежемесячный «вторник патчей» Microsoft выпустила заплатки для четырех уязвимостей в агенте Open Management Infrastructure. Одна из них, CVE-2021-38647, допускает удаленное исполнение вредоносного кода (RCE) и является критической, а три остальных, CVE-2021-38648, CVE-2021-38645 и CVE-2021-38649, могут быть использованы для повышения привилегий (LPE) в многоступенчатых атаках, когда злоумышленники заранее проникают в сеть жертвы. Этим трем присвоен высокий рейтинг по шкале CVSS.

OMI автоматически устанавливается в систему, когда клиенты Microsoft Azure создают виртуальную машину под Linux и выбирают ряд сервисов. Среди этих сервисов точно есть Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics — но этот список, скорее всего, не полный. Сам по себе агент Open Management Infrastructure имеет наивысшие привилегии в системе.  Помимо всего прочего, он служит для сбора статистики и синхронизации конфигурации, поэтому чаще всего доступен из Интернета сразу по нескольким HTTP-портам (в зависимости от выбранных сервисов).

В частности, если он слушает порт 5986, то злоумышленники потенциально могут воспользоваться уязвимостью CVE-2021-38647 для удаленного исполнения вредоносного кода. А если OMI доступен для удаленного управления (по портам 5986, 5985 или 1270), то они могут использовать ту же уязвимость для получения доступа ко всему сетевому окружению в Azure. По мнению экспертов, воспользоваться данной уязвимостью крайне просто.

Эксплуатация этих уязвимостей пока не зарегистрирована, но поскольку уже опубликованы данные о том, насколько легко это сделать, ждать реальных атак осталось недолго.

Как защититься от атак через OMI в Azure?

Компания Microsoft выпустила патч для всех четырех уязвимостей. Однако автоматически OMI обновляется далеко не всегда. Так что рекомендуется проверить, какая версия используется в вашей виртуальной Linux-машине, и если она вышла раньше чем 1.6.8.1 соедует обновить агент Open Management Infrastructure. Как это сделать, можно узнать из описания уязвимости CVE-2021-38647.

Кроме того, эксперты рекомендуют ограничить сетевой доступ к портам 5985, 5986 и 1270, чтобы исключить возможность эксплуатации RCE.

Советы