freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

OMIGOD 漏洞使数以千计的Azure用户面临黑客攻击
2021-09-18 10:14:33

9月16日,微软修补了Open Management Infrastructure (OMI)软件代理中的四个漏洞,这些漏洞可能会使Azure用户遭受攻击。

最近发布的2021年9月周二补丁安全更新,修补了开放管理基础设施(OMI)软件代理中的四个严重漏洞,统称为OMIGOD,这些漏洞使Azure用户遭受攻击。以下是OMIGOD的缺陷列表:

CVE-2021-38647 -未经认证的RCE作为根用户(严重级别:9.8)

CVE-2021-38648 -特权升级漏洞(严重级别:7.8)

CVE-2021-38645 -特权升级漏洞(严重级别:7.8)

CVE-2021-38649 -特权升级漏洞(严重性:7.0)

Wiz的研究团队报告了这些漏洞,攻击者可以利用OMIGOD漏洞远程执行代码或提升 Azure上运行的易受攻击的Linux虚拟机的权限。

研究人员估计,数以千计的Azure客户和数百万的终端可能面临被攻击的风险。

“当客户在他们的云中设置 Linux 虚拟机时,在他们启用某些Azure服务时,OMI代理会在他们不知情的情况下自动部署。除非打上补丁,否则攻击者很容易利用这四个漏洞升级为 root 权限并远程执行恶意代码(例如,加密文件以获取赎金)。” 专家发表的分析称。

“我们将这四组零日漏洞命名为“OMIGOD”,保守估计数以千计的Azure客户和数百万个端点受到影响。在我们分析的一小部分Azure租户样本中,超过65%的租户在不知不觉中处于危险之中。”

OMI是一个用C语言编写的开源项目,允许用户跨环境管理配置,它被用于各种Azure服务,包括Azure自动化、Azure Insights。

最严重的漏洞是一个远程代码执行漏洞,被追踪为CVE-2021-38647,它的CVSS得分为9.8。

未经身份验证的远程攻击者可以通过 HTTPS 向侦听易受攻击系统上的OMI的端口发送特制消息来利用此漏洞。

“使用单个数据包,攻击者只需删除身份验证标头即可成为远程机器上的 root。就这么简单。由于简单的条件语句编码错误和未初始化的auth结构的组合,任何没有 Authorization 标头的请求的权限默认为 uid=0、gid=0,即 root。当 OMI 对外暴露 HTTPS管理端口 (5986/5985/1270)时,此漏洞允许远程接管。”

Microsoft 发布了修补的OMI 版本(1.6.8.1),为了降低利用CVE-2021-38647 RCE进行攻击的风险,IT巨头建议限制对OMI侦听端口5985、5986、1270的网络访问。

参读链接:

https://securityaffairs.co/wordpress/122254/hacking/omigod-flaws.html

本文作者:, 转载请注明来自FreeBuf.COM

# 安全漏洞 # 软件安全 # 网络攻击
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑