最近在许多流行的 Azure 服务中嵌入的名为 Open Management Infrastructure (OMI) 的鲜为人知的软件代理中发现了一系列令人震惊的漏洞。
当客户在他们的云中设置 Linux 虚拟机时,包括在 Azure 上,当他们启用某些 Azure 服务时,OMI 代理会在他们不知情的情况下自动部署。除非打上补丁,否则攻击者可以轻松利用四个漏洞升级为 root 权限并远程执行恶意代码(例如,加密文件以获取赎金)。
黑客为了在远程机器上获得 root 访问权限而必须做的所有事情都是发送一个删除了身份验证标头的数据包。
如果 OMI 从外部公开端口 5986、5985 或 1270,则系统容易受到攻击。
“由于简单的条件语句编码错误和未初始化的 auth 结构的组合,任何没有 Authorization 标头的请求的权限默认为 uid=0、gid=0,即 root。”
Wiz 将该漏洞称为 OMIGOD,并认为 Azure 上多达 65% 的 Linux 安装存在漏洞。
Microsoft 发布了修补的 OMI 版本 (1.6.8.1)。此外,微软建议客户手动更新 OMI,请参阅此处微软建议的步骤。
Wiz 建议您是否让 OMI 监听端口 5985、5986、1270 以立即限制对这些端口的网络访问,以防止 RCE 漏洞 (CVE-2021-38647)。