Azure OMIGOD漏洞在野利用

攻擊者利用Microsoft Azure OMIGOD漏洞釋放Mirai和挖礦機。

Open Management Infrastructure (OMI，開放管理基礎設施)是為Linux和Unix系統設計的類似Windows Management Infrastructure (WMI，Windows管理基礎設施)的開源工具，可以用于IT環境的監控、資產管理和同步配置等。

漏洞概述

OMI 代理以最高權限root運行，任意用戶都可以使用Unix socket或通過HTTP API與之通信。研究人員在Microsoft Azure OMI中發現了4個0 day安全漏洞——OMIGOD，攻擊者利用這些漏洞可以使外部用戶或低權限用戶在目標機器上遠程執行代碼或實現權限提升：

• CVE-2021-38647 (CVSS評分: 9.8) – OMI遠程代碼執行漏洞
• CVE-2021-38648 (CVSS評分: 7.8) – OMI權限提升漏洞
• CVE-2021-38645 (CVSS評分: 7.8) - OMI權限提升漏洞
• CVE-2021-38649 (CVSS評分: 7.0) - OMI權限提升漏洞

4個0 day漏洞中有3個是權限提升漏洞，攻擊者利用相關漏洞可以在安裝OMI的機器上獲得最高權限；第4個漏洞是遠程代碼執行漏洞，CVSS評分9.8分，也是這4個漏洞中最嚴重的。

漏洞在野利用

9月，微軟在微軟補丁日修復了這4個安全漏洞。但隨后就有研究人員發現攻擊者利用相關漏洞進行僵尸網絡攻擊和傳播加密貨幣挖礦惡意軟件。

德國安全研究人員Germán Fernández稱，攻擊者掃描互聯網上暴露的Azure Linux虛擬機，然后發現有超過110臺服務器存在漏洞。然后利用相關的漏洞利用構造僵尸網絡。

安全研究人員Kevin Beaumont還發現有攻擊者利用OMIGOD漏洞來攻擊有受影響的Azure機器來部署加密貨幣挖礦機payload。

如何確保Azure虛擬機安全

微軟已經發布了漏洞補丁，同時微軟也正在向未啟用自動更新的云客戶推送安全更新。Redmond稱，受影響的用戶必須安裝補丁，用戶也可以通過內置的Linux包管理器手動更新OMI代理，也可以使用平臺的包管理器工具來更新OMI，比如使用命令sudo apt-get install omi或sudo yum install omi。

更多技術細節參見：https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution

來源：https://thehackernews.com/2021/09/critical-flaws-discovered-in-azure-app.htm

參考及來源：https://www.bleepingcomputer.com/news/security/omigod-microsoft-azure-vms-exploited-to-drop-mirai-miners/