In occasione del Patch Tuesday di settembre, Microsoft ha risolto quattro vulnerabilità critiche note collettivamente come OMIGOD e identificate nel software Open Management Infrastructure (OMI) che potrebbero essere sfruttate da un threat actor per colpire gli utenti del cloud Azure di Microsoft.
In particolare, l’exploit delle vulnerabilità potrebbe consentire ad un attaccante di elevare i propri privilegi e prendere il controllo remoto dei sistemi vulnerabili.
L’agent software Open Management Infrastructure (OMI) è un componente poco conosciuto che viene automaticamente distribuito in numerosi server Azure. OMI può essere visto come l’equivalente open source di Windows Management Infrastructure (WMI) ma progettato per sistemi Linux e UNIX tra cui CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux e Ubuntu.
Si tratta, in particolare, di un servizio software che consente il monitoraggio, la gestione dell’inventario e la sincronizzazione delle configurazioni tra i differenti ambienti IT, con supporto per la maggior parte dei sistemi UNIX e delle moderne piattaforme Linux, utilizzato da più servizi Azure, tra cui Open Management Suite (OMS), Azure Insights e Azure Automation.
Azurescape, la vulnerabilità che apre le porte degli account cloud su Microsoft Azure
Indice degli argomenti
OMIGOD: i dettagli delle vulnerabilità
Le vulnerabilità, ora risolte da Microsoft, sono le seguenti, tutte di tipo RCE (Remote Code Execution):
- CVE-2021-38647 (punteggio CVSS: 9.8)
- CVE-2021-38648 (punteggio CVSS: 7.8)
- CVE-2021-38645 (punteggio CVSS: 7.8)
- CVE-2021-38649 (punteggio CVSS: 7.0)
ed espongono a possibili attacchi informatici gli utenti Azure su macchine Linux e quelli di Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management e Azure Diagnostics.
La gravità delle vulnerabilità è data anche dal fatto che OMI viene in un certo senso installato “segretamente” su macchine Linux di Azure, che rappresentano più della metà delle istanze del cloud Microsoft.
Quando gli utenti abilitano uno di questi servizi, OMI viene silenziosamente installato sulla loro macchina virtuale e, una volta in esecuzione, gli vengono assegnati i più alti privilegi possibili. Inoltre, questo accade senza il consenso esplicito degli utenti ai quali, semplicemente, viene chiesto di accettare la raccolta dei log durante la configurazione.
Di fatto, quindi, gli utenti sono all’oscuro della presenza di questo agent software e non prestare la necessaria attenzione alla sua messa in sicurezza.
Come avviene l’exploit delle vulnerabilità
Il bug più grave, CVE-2021-38647, potrebbe essere sfruttato da un utente malintenzionato remoto e non autenticato inviando un messaggio appositamente predisposto tramite HTTPS alla porta attiva di OMI su un sistema vulnerabile.
Con un singolo pacchetto, un utente malintenzionato può diventare root su una macchina remota semplicemente rimuovendo l’intestazione di autenticazione.
Grazie alla combinazione di un semplice errore di codifica dell’istruzione condizionale e di una struttura di autenticazione non inizializzata, qualsiasi richiesta senza un’intestazione di autorizzazione ha i suoi privilegi predefiniti su uid=0, gid=0, che è root. Questa vulnerabilità consente l’acquisizione remota quando OMI espone la porta di gestione HTTPS esternamente (5986/5985/1270).
Tutte le vulnerabilità sono state rilevate dai ricercatori della società di sicurezza cloud Wiz, Nir Ohfeld e Shir Tamari che hanno pubblicato anche un dettagliato rapporto tecnico.
Come proteggere gli endpoint Azure Linux
Microsoft ha rilasciato una versione OMI con patch (1.6.8-1) come soluzione alle vulnerabilità OMIGOD. Inoltre, ha consigliato ai clienti di aggiornare manualmente OMI.
Attualmente, infatti, non esiste un meccanismo di aggiornamento automatico che Microsoft può utilizzare per aggiornare gli agent vulnerabili su tutte le macchine Azure Linux e quindi gli utenti sono di fatto obbligati ad aggiornarlo manualmente per proteggere gli endpoint da eventuali attacchi in arrivo utilizzando gli exploit OMIGOD.
Per farlo, è necessario seguire questa procedura:
- aggiungere, innanzitutto, l’MSRepo al sistema. In base al sistema operativo Linux utilizzato, è possibile fare riferimento a questa guida pratica per installare il repository;
- quindi, occorre usare il package manager della propria distribuzione Linux per aggiornare OMI (ad esempio, con i comandi sudo apt-get install omi oppure sudo yum install omi).
Infine, se abbiamo OMI attivo sulle porte 5985, 5986, 1270, il consiglio è quello di limitare immediatamente l’accesso alla rete a tali porte per proteggersi dalla vulnerabilità RCE (CVE-2021-38647).
