OMIGod!

Mengder av Linux-servere i Azure kan være sårbare for angrep med root-tilgang

Utnyttes allerede til utplassering av skadevare.

Sårbarhetene knyttet til Open Management Infrastructure i blant annet Microsoft Azure, har fått både eget navn og logo.
Sårbarhetene knyttet til Open Management Infrastructure i blant annet Microsoft Azure, har fått både eget navn og logo. (Illustrasjon: Wiz)

Utnyttes allerede til utplassering av skadevare.

Som Digi.no omtalte i forrige uke, har Microsoft kommet med sikkerhetsfikser til Azure Open Management Infrastructure (OMI), en åpen kildekode-basert teknologi som gjerne benyttes i forbindelse med Linux-baserte virtuelle maskiner (VM) i skytjenesten Azure. Sårbarhetene ble opprinnelig oppdaget av sikkerhetsforskere i det amerikanske selskapet Wiz. De har kalt sårbarhetene for OMIGod etter sin egen reaksjon da sårbarhetene ble oppdaget.

I alt dreier det seg om fire sårbarheter. Tre av dem åpner for forhøyede privilegier, mens den siste gir angripere mulighet til å fjernkjøre vilkårlig kode som root-brukeren.  

Installeres uten kundenes kjennskap

Ifølge Wiz er det hele knyttet til en programvareagent som er integrert i mange populære Azure-tjenester. Når en Azure-kunde setter opp en Linux-VM, vil OMI-agenten automatisk rulles ut, uten at kundene blir opplyst om dette, dersom de aktiverer visse Azure-tjenester. OMI kjøres med høyest mulig privilegier.

De aktuelle tjenestene inkluderer i alle fall disse, men langt fra alle gjør systemet sårbart:

  • Azure Automation
  • Azure Automatic Update
  • Azure Operations Management Suite (OMS)
  • Azure Log Analytics
  • Azure Configuration Management
  • Azure Diagnostics
  • Azure Container Insights

Microsoft har tidligere opplyst at mer enn halvparten av alle instansene i Azure er Linux-baserte. Wiz har analysert et lite utvalg og fant at mer enn 65 prosent av instansene i utvalget var berørte. Det skal dreie seg om tusenvis av kunder og millioner av endepunkter.

Les også

Ikke bare i skyen

Også Microsoft-kunder med mer lokale Linux-installasjoner kan være berørt, siden OMI følger med og blir installert av også andre Microsoft-produkter. Ifølge Wiz er System Center for Linux et eksempel på dette. 

Utnyttelse av sårbarhetene forutsetter at visse porter har åpnet for fjerntilgang. For eksempel skal Azure Configuration Management eksponere en HTTPS-port (TCP-portene 5986/5985/1270) for kommunikasjon med OMI. De fleste andre Azure-tjenester kan derimot bruke OMI uten å eksponere denne porten. 

Fjern headeren, få full root-tilgang

Wiz omtaler sårbarheten som noe man kunne ha ventet å se på 1990-tallet, men svært uvanlig i dag. Det skal være svært enkelt for en angriper å oppnå root-privilegier. Det handler bare om å fjerne autentiseringsheaderen i én eneste nettverkspakke. Alle forespørsler uten slik pakke får privilegiene satt til uid=0, gid=0, noe som er det samme som root. 

Like før helgen ble blant annet Wiz gjort kjent med at det foregår omfattende forsøk på å utnytte OMIGod-sårbarhetene til å spre skadevare, inkludert Mirai-botnettet og kryptovalutautvinnere. Bleeping Computer har samlet uttalelser fra en rekke sikkerhetsforskere som bekreftet dette. 

Delvis automatisk oppdatering

For å fjerne sårbarhetene, kan det være nødvendig for de berørte kundene å installere sikkerhetsoppdateringen manuelt. Microsoft jobber med å få på plass automatiske oppdateringer knyttet til en del av de berørte produktene og tjenestene, men ikke alle er klare ennå, og i noen tilfeller må oppdateringene uansett installeres manuelt. En oversikt finnes i en tabell på denne siden.

På den samme siden opplyses det hva administratorer av systemer som faktisk er berørt av OMIGod kan gjøre for å sjekke om sårbarhetene har blitt utnyttet. 

For øvrig anbefales det at tilgangen til Linux-systemer som eksponerer OMI-portene (TCP-portene 5986/5985/1270), begrenses. 

Les også

Kommentarer (3)

Kommentarer (3)
Til toppen