9月16日，微软修补了Open Management Infrastructure (OMI)软件代理中的四个漏洞，这些漏洞可能会使Azure用户遭受攻击。

最近发布的2021年9月周二补丁安全更新，修补了开放管理基础设施(OMI)软件代理中的四个严重漏洞，统称为OMIGOD，这些漏洞使Azure用户遭受攻击。以下是OMIGOD的缺陷列表:

CVE-2021-38647 -未经认证的RCE作为根用户(严重级别:9.8)

CVE-2021-38648 -特权升级漏洞(严重级别:7.8)

CVE-2021-38645 -特权升级漏洞(严重级别:7.8)

CVE-2021-38649 -特权升级漏洞(严重性:7.0)

Wiz的研究团队报告了这些漏洞，攻击者可以利用OMIGOD漏洞远程执行代码或提升 Azure上运行的易受攻击的Linux虚拟机的权限。

研究人员估计，数以千计的Azure客户和数百万的终端可能面临被攻击的风险。

“当客户在他们的云中设置 Linux 虚拟机时，在他们启用某些Azure服务时，OMI代理会在他们不知情的情况下自动部署。除非打上补丁，否则攻击者很容易利用这四个漏洞升级为 root 权限并远程执行恶意代码(例如，加密文件以获取赎金)。” 专家发表的分析称。

“我们将这四组零日漏洞命名为“OMIGOD”，保守估计数以千计的Azure客户和数百万个端点受到影响。在我们分析的一小部分Azure租户样本中，超过65%的租户在不知不觉中处于危险之中。”

OMI是一个用C语言编写的开源项目，允许用户跨环境管理配置，它被用于各种Azure服务，包括Azure自动化、Azure Insights。

最严重的漏洞是一个远程代码执行漏洞，被追踪为CVE-2021-38647，它的CVSS得分为9.8。

未经身份验证的远程攻击者可以通过 HTTPS 向侦听易受攻击系统上的OMI的端口发送特制消息来利用此漏洞。

“使用单个数据包，攻击者只需删除身份验证标头即可成为远程机器上的 root。就这么简单。由于简单的条件语句编码错误和未初始化的auth结构的组合，任何没有 Authorization 标头的请求的权限默认为 uid=0、gid=0，即 root。当 OMI 对外暴露 HTTPS管理端口 (5986/5985/1270)时，此漏洞允许远程接管。”

Microsoft 发布了修补的OMI 版本(1.6.8.1)，为了降低利用CVE-2021-38647 RCE进行攻击的风险，IT巨头建议限制对OMI侦听端口5985、5986、1270的网络访问。

参读链接：

https://securityaffairs.co/wordpress/122254/hacking/omigod-flaws.html