*Falhas críticas descobertas no aplicativo do Azure que a Microsoft instalou secretamente em VMs do Linux
A Microsoft abordou na terça-feira um quarteto de falhas de segurança como parte de suas atualizações Patch Tuesday que podem ser abusadas por adversários para atingir os clientes da nuvem Azure e elevar privilégios, bem como permitir a aquisição remota de sistemas vulneráveis.
A lista de falhas, coletivamente chamada de OMIGOD por pesquisadores do Wiz, afeta um agente de software pouco conhecido chamado Open Management Infrastructure que é implantado automaticamente em muitos serviços do Azure -
- CVE-2021-38647 (pontuação CVSS: 9,8) - Vulnerabilidade de execução remota de código de infraestrutura de gerenciamento aberto
- CVE-2021-38648 (pontuação CVSS: 7,8) - Vulnerabilidade de elevação de privilégio de infraestrutura de gerenciamento aberto
- CVE-2021-38645 (pontuação CVSS: 7,8) - Vulnerabilidade de elevação de privilégio de infraestrutura de gerenciamento aberto
- CVE-2021-38649 (pontuação CVSS: 7,0) - Vulnerabilidade de elevação de privilégio de infraestrutura de gerenciamento aberto
Open Management Infrastructure ( OMI ) é um equivalente de código aberto análogo ao Windows Management Infrastructure (WMI), mas projetado para sistemas Linux e UNIX, como CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux e Ubuntu que permite monitoramento, gerenciamento de inventário e configurações de sincronização em ambientes de TI.
Os clientes do Azure em máquinas Linux, incluindo usuários da Automação do Azure, Atualização Automática do Azure, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, correm o risco de exploração potencial.
"Quando os usuários permitem que qualquer um destes serviços populares, OMI é silenciosamente instalado em sua máquina virtual, funcionando com os mais altos privilégios possíveis", Wiz pesquisador de segurança Nir Ohfeld disse . "Isso acontece sem o consentimento ou conhecimento explícito dos clientes. Os usuários simplesmente clicam em concordar em registrar a coleta durante a configuração e, sem saber, optaram por isso."
"Além dos clientes da nuvem Azure, outros clientes da Microsoft são afetados, já que o OMI pode ser instalado de forma independente em qualquer máquina Linux e é frequentemente usado no local", acrescentou Ohfeld.
Uma vez que o agente OMI é executado como root com os privilégios mais elevados, as vulnerabilidades mencionadas podem ser abusadas por atores externos ou usuários com poucos privilégios para executar código remotamente em máquinas de destino e escalar privilégios, permitindo que os agentes de ameaça aproveitem as permissões elevadas para montar ataques sofisticados.
A mais crítica das quatro falhas é uma falha de execução remota de código que surge de uma porta HTTPS exposta à Internet como 5986, 5985 ou 1270, permitindo que os invasores obtenham acesso inicial a um ambiente de destino do Azure e, subsequentemente, movam-se lateralmente na rede.
"Esta é uma vulnerabilidade RCE de livro que você esperaria ver nos anos 90 - é altamente incomum ter um surgimento em 2021 que pode expor milhões de terminais", disse Ohfeld. "Com um único pacote, um invasor pode se tornar root em uma máquina remota simplesmente removendo o cabeçalho de autenticação. É simples assim."
"OMI é apenas um exemplo de agente de software 'secreto' que é pré-instalado e implantado silenciosamente em ambientes de nuvem. É importante observar que esses agentes existem não apenas no Azure, mas em [Amazon Web Services] e [Google Cloud Platform] como Nós vamos."
Postar um comentário