Azure OMIGOD漏洞在野利用,azure data factory-ESG跨境

Azure OMIGOD漏洞在野利用,azure data factory

Azure OMIGOD漏洞在野利用

攻擊者利用Microsoft Azure OMIGOD漏洞釋放Mirai和挖礦機。

Open Management Infrastructure (OMI，開放管理基礎(chǔ)設(shè)施)是為Linux和Unix系統(tǒng)設(shè)計的類似Windows Management Infrastructure (WMI，Windows管理基礎(chǔ)設(shè)施)的開源工具，可以用于IT環(huán)境的監(jiān)控、資產(chǎn)管理和同步配置等。

漏洞概述

OMI 代理以最高權(quán)限r(nóng)oot運行，任意用戶都可以使用Unix socket或通過HTTP API與之通信。研究人員在Microsoft Azure OMI中發(fā)現(xiàn)了4個0 day安全漏洞——OMIGOD，攻擊者利用這些漏洞可以使外部用戶或低權(quán)限用戶在目標機器上遠程執(zhí)行代碼或?qū)崿F(xiàn)權(quán)限提升：

CVE202138647 (CVSS評分: 9.8) – OMI遠程代碼執(zhí)行漏洞

CVE202138648 (CVSS評分: 7.8) – OMI權(quán)限提升漏洞

CVE202138645 (CVSS評分: 7.8) OMI權(quán)限提升漏洞

CVE202138649 (CVSS評分: 7.0) OMI權(quán)限提升漏洞

4個0 day漏洞中有3個是權(quán)限提升漏洞，攻擊者利用相關(guān)漏洞可以在安裝OMI的機器上獲得最高權(quán)限；第4個漏洞是遠程代碼執(zhí)行漏洞，CVSS評分9.8分，也是這4個漏洞中最嚴重的。

漏洞在野利用

9月，微軟在微軟補丁日修復(fù)了這4個安全漏洞。但隨后就有研究人員發(fā)現(xiàn)攻擊者利用相關(guān)漏洞進行僵尸網(wǎng)絡(luò)攻擊和傳播加密貨幣挖礦惡意軟件。

德國安全研究人員Germán Fernández稱，攻擊者掃描互聯(lián)網(wǎng)上暴露的Azure Linux虛擬機，然后發(fā)現(xiàn)有超過110臺服務(wù)器存在漏洞。然后利用相關(guān)的漏洞利用構(gòu)造僵尸網(wǎng)絡(luò)。

安全研究人員Kevin Beaumont還發(fā)現(xiàn)有攻擊者利用OMIGOD漏洞來攻擊有受影響的Azure機器來部署加密貨幣挖礦機payload。

如何確保Azure虛擬機安全

微軟已經(jīng)發(fā)布了漏洞補丁，同時微軟也正在向未啟用自動更新的云客戶推快遞安全更新。Redmond稱，受影響的用戶必須安裝補丁，用戶也可以通過內(nèi)置的Linux包管理器手動更新OMI代理，也可以使用平臺的包管理器工具來更新OMI，比如使用命令sudo aptget install omi或sudo yum install omi。

更多技術(shù)細節(jié)參見：https://www.wiz.io/blog/secretagentexposesazurecustomerstounauthorizedcodeexecution

來源：https://thehackernews.com/2021/09/criticalflawsdiscoveredinazureapp.htm

參考及來源：https://www.bleepingcomputer.com/news/security/omigodmicrosoftazurevmsexploitedtodropmiraiminers/

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。