Mirai僵尸網絡正在積極利用已知的關鍵漏洞CVE-2021-38647

據阿卡迪亞集團安全運營中心負責人凱文·博蒙特（Kevin Beaumont）介紹，Mirai僵尸網絡正在積極利用已知的關鍵漏洞CVE-2021-38647，該漏洞是微軟Azure Linux開放管理基礎設施框架中被稱為OMIGOD的四分之一漏洞的一部分。

"Mirai 僵尸網絡正在利用#OMIGOD - 他們放棄 Mirai DDoS 僵尸網絡的版本， 然后關閉 5896 （OMI SSL 端口） 從互聯網上， 以阻止其他人利用同一個盒子，"博蒙特推特周五。

微軟在周二修補了CVE-2021-38647，但博蒙特指出，有15,700個Azure服務器容易受到攻擊。

"肖丹搜索找到這些 （他們總是使用端口 + 云應用程序證書），" 他在推特上說。"有 15,700 個在線， 沒有 auth Rce， 包括美國政府等主機， 這看起來像一個大問題， 等待你降落在 vnets 后面。

微軟周四發布了有關此漏洞的附加指南，并建議立即應用該補丁。

Mirai 僵尸網絡在 2016 年聲名狼藉，當時惡意軟件被用來破壞域名服務器提供商 Dyn，并主要攻擊越南、巴西、美國、中國和墨西哥的閉路電視攝像機（參見：僵尸網絡軍隊的"多達 100,000"物聯網設備中斷）。

危險

云安全公司Wiz的研究人員報告說，當客戶在云中設置 Linux 虛擬機器并啟用某些 Azure 服務時，這種無處不在但鮮為人知的軟件代理（稱為開放管理基礎設施 （OMI））會在客戶不知情的情況下自動部署。

研究人員說，除非應用修補程序，否則攻擊者可以輕松地利用這四個OMIGOD漏洞升級為根源特權，并遠程執行惡意代碼，例如加密文件以索取贖金。

美國網絡安全和基礎設施安全局周四發布警報，重申微軟周二的安全建議，即"客戶必須更新其云和本地部署的易受攻擊擴展，因為更新可用"的遠程代碼執行漏洞 CVE-2021-38647 影響 Azure Linux OMI 框架。

構成OMIGOD的其他三個漏洞是CVE-2021-38645、CVE-2021-38649和CVE-2021-38648。

Wiz的研究人員將這一缺陷描述為"教科書上的RCE漏洞"，人們預計在20世紀90年代就會看到這種漏洞，他們指出，在2021年出現這種漏洞是非常不尋常的。

"只需刪除身份驗證頭，攻擊者就可以在遠程計算機上生根。任何沒有授權頭的請求都有其特權默認為 uid=0，gid=0，這是根，"他們說。

修補有多緊急？

根據Horiza3.a1，一家由美國國防部隊老兵于2019年成立的安全公司，至少有15，000臺Azure服務器仍然可被開發，該公司在GitHub上發布了CVE-2021-38647的概念驗證漏洞。

微軟確認，V1.6.8-1 以下的所有 Azure Linux OMI 版本都容易受到此 RCE 漏洞的影響，但將 CVE-2021-38647 列為"不太可能"被利用的版本。

研究人員說，由于某些 Azure 產品暴露了 HTTP/S 端口（通常是端口 5986/5985/1270）的操作，因此很容易利用此漏洞，而 Wiz 研究人員確認，當該端口作為獨立安裝并在 Azure 配置管理或系統中心運營經理中安裝時，OMI 是默認值。

修復

為了檢查 VM 管理擴展是否受到 CVE-2021-38647 的影響，Microsoft 建議客戶使用Azure 門戶或 CLI，或在MSRC 博客中查看受影響的版本列表，其中更新的擴展可供手動下載。

微軟表示，目前，DSC和SCOM只能提供更新，但其他更新將在周六提供。

作為第二層保護，Microsoft 建議其客戶限制訪問暴露 OMI 端口的 Linux 系統 （TCP 5985、5986 和 1207）， 并確保"VM 部署在網絡安全組內或周邊防火墻后面"。它澄清了端口 5985 和 5986 也用于在 Windows 上進行電源殼重燃，但不受這些漏洞的影響。

"壯觀的云安全問題"

微軟、Wiz 研究人員和 CISA 都建議用戶實施這些補救措施。但是在一條微博中，博蒙特說微軟"未能在Azure更新自己的系統，在新的VM部署上安裝修補版本，"他補充說，"老實說，這是下巴下降。

Beaumont 在另一條微博中補充說，漏洞的連鎖反應已經顯而易見，稱這些漏洞是"壯觀的云安全問題"。

是的，這是一個壯觀的云安全問題，它也延伸到 Azure Gov 云服務 - 這是一個自我，我不知道 MS 如何上市而不首先解決問題：這是超級 /不/信心激勵作為一個客戶，讓我想知道什么骨架潛伏。https://t.co/nno0eBKaIK

? 凱文·博蒙特 （@GossiTheDog） 2021年9月16日

三周內發生的第三起事件

這是微軟在數周內在流行的 Azure 產品中出現的第三個安全漏洞實例。今年8月，微軟披露了Azure宇宙DB收購漏洞，稱該漏洞影響了30%的Azure客戶（見：Azure數據庫服務缺陷可能影響數千家公司）。

9月初，這家科技巨頭披露了影響 Azure 容器實例的 Azurescape 漏洞的詳細信息，并可能允許用戶在 ACI 服務中訪問其他客戶的信息（參見：微軟警報：Azure 容器實例中的嚴重缺陷）。