Quatro das correções que a Microsoft lançou como parte de suas atualizações de Patch Tuesday de setembro de 2021 lidam com vulnerabilidades no agente de software Open Management Infrastructure (OMI) incorporado nos serviços do Azure.
Avaliadas com classificações de gravidade crítica e alta, as vulnerabilidades, coletivamente chamadas de OMIGOD, podem ser exploradas para executar código remotamente ou obter privilégios elevados em máquinas virtuais Linux vulneráveis em execução no Azure.
“Estimamos de forma conservadora que milhares de clientes do Azure e milhões de endpoints são afetados”, disse a empresa de segurança em nuvem Wiz, cujos pesquisadores identificaram as falhas. “Em uma pequena amostra de locatários do Azure que analisamos, mais de 65% estavam inadvertidamente em risco.”
Um projeto de código aberto escrito em C, OMI ajuda os usuários a gerenciar configurações em ambientes e é amplamente usado em vários serviços do Azure, incluindo Automação do Azure, Azure Insights e muito mais. O OMI é semelhante ao Windows Management Instrumentation (WMI) e é implantado automaticamente quando um cliente do Azure cria uma máquina virtual Linux.
O mais grave dos problemas de segurança recentemente resolvidos é CVE-2021-38647 (pontuação CVSS de 9,8), que pode permitir que um invasor remoto não autenticado execute código em uma máquina vulnerável. Por causa desse bug, qualquer solicitação sem um cabeçalho de autenticação tem seus privilégios automaticamente definidos como root.
“Com um único pacote, um invasor pode se tornar root em uma máquina remota simplesmente removendo o cabeçalho de autenticação”, explicam os pesquisadores de segurança da Wiz .
Consideradas de alta gravidade, todas as outras três falhas de segurança abordadas no OMI podem levar ao aumento de privilégios. Estes são rastreados como CVE-2021-38648 (pontuação CVSS de 7,8), CVE-2021-38645 (pontuação CVSS de 7,8) e CVE-2021-38649 (pontuação CVSS de 7,0).
A exploração do CVE-2021-38648, explicam os pesquisadores do Wiz, envolve a omissão da parte de autenticação de uma solicitação de execução de comando legítima registrada anteriormente do omicli e a reemissão dessa solicitação. Independentemente das permissões do usuário, o comando será executado como root.
Essas vulnerabilidades afetam potencialmente mais da metade das instâncias do Azure, todas elas máquinas Linux, desde que usem serviços do Azure, como Automação, Atualização Automática, Conjunto de Gerenciamento de Operações (OMS), Log Analytics, Gerenciamento de Configuração ou Diagnóstico, entre outros.
Com o OMI disponível para instalação em qualquer máquina Linux, outras pessoas também podem ser afetadas. Na verdade, a Microsoft diz que os patches para os bugs foram disponibilizados no GitHub em 11 de agosto, para garantir que os parceiros que dependem do OMI tivessem tempo suficiente para implementar a correção antes que os detalhes fossem divulgados.
Há cerca de duas semanas, a Microsoft resolveu um problema que poderia permitir que invasores assumissem o Azure Cosmos DBs . Na semana passada, a empresa corrigiu uma falha de instâncias de contêiner do Azure (ACI) levando à divulgação de informações.
Este artigo é uma tradução de: https://www.securityweek.com/severe-vulnerabilities-could-expose-thousands-azure-users-attacks (Autor: Ionut Arghire )
