Azure OMIGOD漏洞在野利用,azure devops 實戰(zhàn)-ESG跨境

Azure OMIGOD漏洞在野利用,azure devops 實戰(zhàn)

在野外利用的Azure OMIGOD漏洞

攻擊者利用微軟Azure OMIGOD漏洞發(fā)布Mirai未來組合和礦機。

開放管理基礎(chǔ)設(shè)施(OMI，open management基礎(chǔ)facilities)是一款類似于Windows管理基礎(chǔ)設(shè)施(WMI，Windows management基礎(chǔ)facilities)的開源工具，專為Linux和Unix系統(tǒng)設(shè)計，可用于IT環(huán)境監(jiān)控、資產(chǎn)管理和同步配置。

漏洞概述

OMI代理以最高權(quán)限r(nóng)oot運行，任何用戶都可以使用Unix socket或者通過HTTP API與之通信。研究人員在微軟Azure OMIOMIGOD中發(fā)現(xiàn)了4個0天安全漏洞。攻擊者可以利用這些漏洞讓外部用戶或低權(quán)限用戶在目標機器上遠程執(zhí)行代碼或?qū)崿F(xiàn)權(quán)限提升:

CVE202138647 (CVSS得分:9.8)OMI遠程代碼執(zhí)行漏洞

CVE202138648 (CVSS得分:7.8)OMI權(quán)限提升漏洞

CVE202138645 (CVSS得分:7.8)OMI權(quán)限提升漏洞

CVE202138649 (CVSS得分:7.0)OMI權(quán)限提升漏洞

4個0天漏洞中有3個是權(quán)限提升漏洞，攻擊者利用相關(guān)漏洞可以在安裝OMI的機器上獲得最高權(quán)限；第四個漏洞是遠程代碼執(zhí)行漏洞，CVSS評分為9.8，是這四個漏洞中最嚴重的一個。

野生環(huán)境中的漏洞利用

9月，微軟在微軟補丁日修復了這四個安全漏洞。但隨后有研究人員發(fā)現(xiàn)，攻擊者利用相關(guān)漏洞進行僵尸網(wǎng)絡(luò)攻擊，傳播加密貨幣挖掘惡意軟件。

德國安全研究員赫爾曼·費爾南德斯(german fernández)表示，攻擊者掃描了暴露在互聯(lián)網(wǎng)上的Azure Linux虛擬機，發(fā)現(xiàn)超過110臺服務(wù)器存在漏洞。然后利用相關(guān)漏洞構(gòu)造僵尸網(wǎng)絡(luò)。

安全研究員凱文·博蒙特(Kevin Beaumont)還發(fā)現(xiàn)，攻擊者利用OMIGOD漏洞攻擊受影響的Azure機器，以部署加密貨幣礦工有效載荷。

如何保證Azure虛擬機安全

微軟發(fā)布了一個漏洞補丁，微軟也在向沒有啟用自動更新的云客戶推快遞安全更新。雷德蒙表示，受影響的用戶必須安裝補丁。用戶也可以通過內(nèi)置的Linux包管理器手動更新OMI代理，或者使用平臺的包管理器工具更新OMI，比如使用命令sudo aptget install omi或者sudo yum install omi。

更多技術(shù)細節(jié)見:https://www . wiz . io/blog/secretagentexposuresazurecustomerstounauthorizedcodeexecution。

來源:https://the hacker news . com/2021/09/criticalflagsdiscoveredinazureapp . htm

和參考資料來源:https://www . bleeping computer . com/news/security/OMI godMicrosoftazureVMsexploitedtodropmiraiminers/

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。