Er is nieuws opgedoken over een nogal gevaarlijke praktijk in Microsoft Azure, waarbij wanneer een gebruiker een virtuele Linux-machine aanmaakt en bepaalde Azure-diensten inschakelt, het Azure-platform automatisch de Open Management Infrastructure (OMI) Agent op de machine installeert. De gebruiker weet hier niets van.
Hoewel een geheime installatie op het eerste gezicht verschrikkelijk klinkt, zou deze nog niet zo slecht zijn, ware het niet dat er twee problemen zijn: Ten eerste, de agent heeft bekende kwetsbaarheden, en ten tweede, de agent heeft geen automatisch update-mechanisme in Azure. Totdat Microsoft dit probleem aan zijn kant oplost, zullen organisaties die virtuele Linux-machines op Azure gebruiken actie moeten ondernemen.
Kwetsbaarheden in de Open Management Infrastructure en hoe aanvallers deze kunnen benutten
Op Patch Tuesday in september heeft Microsoft beveiligingsupdates uitgebracht voor vier kwetsbaarheden in de Open Management Infrastructure Agent. Een daarvan, CVE-2021-38647, maakt uitvoering van code op afstand (Remote Code Execution of RCE) mogelijk en is kritiek, en de andere drie, CVE-2021-38648, CVE-2021-38645 en CVE-2021-38649, kunnen worden gebruikt voor privilege escalation (LPE) in aanvallen die uit meerdere fases bestaan waarbij aanvallers het netwerk van hun slachtoffer op voorhand zijn binnengedrongen. Deze drie kwetsbaarheden scoren hoog wat betreft de CVSS.
Wanneer gebruikers van Microsoft Azure een virtuele Linux-machine aanmaken en een reeks diensten inschakelen, wordt OMI (kwetsbaarheden en al) automatisch in het systeem geïnstalleerd. De diensten omvatten Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management en Azure Diagnostics, een lijst die waarschijnlijk verre van volledig is. De Open Management Infrastructure Agent heeft de hoogste rechten in het systeem, en omdat het verzamelen van statistieken en het synchroniseren van configuraties tot zijn taken behoort, is hij over het algemeen toegankelijk vanaf het internet via verschillende HTTP-poorten, afhankelijk van de ingeschakelde diensten.
Als de luisterpoort bijvoorbeeld 5986 is, kunnen aanvallers mogelijk de kwetsbaarheid CVE-2021-38647 benutten en op afstand schadelijke code uitvoeren. Als de OMI beschikbaar is voor beheer op afstand (via poort 5986, 5985 of 1270), kunnen buitenstaanders dezelfde kwetsbaarheid misbruiken om toegang te krijgen tot de gehele netwerkomgeving in Azure. Experts zeggen dat de kwetsbaarheid erg eenvoudig te benutten is.
This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com/iIHNyqgew4
— Ami Luttwak (@amiluttwak) September 14, 2021
Tot dusver zijn er nog geen in-the-wild-aanvallen gerapporteerd, maar aangezien er veel informatie beschikbaar is over hoe gemakkelijk het zou zijn om deze kwetsbaarheden uit te buiten, zal dat waarschijnlijk niet lang meer duren.
Hoe u zich kunt beschermen
Microsoft heeft voor alle vier de kwetsbaarheden patches uitgebracht. OMI wordt echter niet altijd automatisch geüpdatet, dus u moet controleren welke versie op uw virtuele Linux-machine is geïnstalleerd. Als deze ouder is dan 1.6.8.1, werk dan de Open Management Infrastructure Agent bij. Om te zien hoe, kunt u de beschrijving van de kwetsbaarheid CVE-2021-38647 raadplegen.
Experts raden ook aan om de netwerktoegang tot poorten 5985, 5986 en 1270 te beperken om te voorkomen dat iemand RCE uitvoert (het op afstand uitvoeren van code).