Azure OMIGOD漏洞在野利用,azure data factory-ESG跨境

Azure OMIGOD漏洞在野利用,azure data factory

Azure OMIGOD漏洞在野利用

攻擊者利用Microsoft Azure OMIGOD漏洞釋放Mirai和挖礦機(jī)。

Open Management Infrastructure (OMI，開(kāi)放管理基礎(chǔ)設(shè)施)是為L(zhǎng)inux和Unix系統(tǒng)設(shè)計(jì)的類(lèi)似Windows Management Infrastructure (WMI，Windows管理基礎(chǔ)設(shè)施)的開(kāi)源工具，可以用于IT環(huán)境的監(jiān)控、資產(chǎn)管理和同步配置等。

漏洞概述

OMI 代理以最高權(quán)限r(nóng)oot運(yùn)行，任意用戶都可以使用Unix socket或通過(guò)HTTP API與之通信。研究人員在Microsoft Azure OMI中發(fā)現(xiàn)了4個(gè)0 day安全漏洞——OMIGOD，攻擊者利用這些漏洞可以使外部用戶或低權(quán)限用戶在目標(biāo)機(jī)器上遠(yuǎn)程執(zhí)行代碼或?qū)崿F(xiàn)權(quán)限提升：

CVE202138647 (CVSS評(píng)分: 9.8) – OMI遠(yuǎn)程代碼執(zhí)行漏洞

CVE202138648 (CVSS評(píng)分: 7.8) – OMI權(quán)限提升漏洞

CVE202138645 (CVSS評(píng)分: 7.8) OMI權(quán)限提升漏洞

CVE202138649 (CVSS評(píng)分: 7.0) OMI權(quán)限提升漏洞

4個(gè)0 day漏洞中有3個(gè)是權(quán)限提升漏洞，攻擊者利用相關(guān)漏洞可以在安裝OMI的機(jī)器上獲得最高權(quán)限；第4個(gè)漏洞是遠(yuǎn)程代碼執(zhí)行漏洞，CVSS評(píng)分9.8分，也是這4個(gè)漏洞中最嚴(yán)重的。

漏洞在野利用

9月，微軟在微軟補(bǔ)丁日修復(fù)了這4個(gè)安全漏洞。但隨后就有研究人員發(fā)現(xiàn)攻擊者利用相關(guān)漏洞進(jìn)行僵尸網(wǎng)絡(luò)攻擊和傳播加密貨幣挖礦惡意軟件。

德國(guó)安全研究人員Germán Fernández稱(chēng)，攻擊者掃描互聯(lián)網(wǎng)上暴露的Azure Linux虛擬機(jī)，然后發(fā)現(xiàn)有超過(guò)110臺(tái)服務(wù)器存在漏洞。然后利用相關(guān)的漏洞利用構(gòu)造僵尸網(wǎng)絡(luò)。

安全研究人員Kevin Beaumont還發(fā)現(xiàn)有攻擊者利用OMIGOD漏洞來(lái)攻擊有受影響的Azure機(jī)器來(lái)部署加密貨幣挖礦機(jī)payload。

如何確保Azure虛擬機(jī)安全

微軟已經(jīng)發(fā)布了漏洞補(bǔ)丁，同時(shí)微軟也正在向未啟用自動(dòng)更新的云客戶推快遞安全更新。Redmond稱(chēng)，受影響的用戶必須安裝補(bǔ)丁，用戶也可以通過(guò)內(nèi)置的Linux包管理器手動(dòng)更新OMI代理，也可以使用平臺(tái)的包管理器工具來(lái)更新OMI，比如使用命令sudo aptget install omi或sudo yum install omi。

更多技術(shù)細(xì)節(jié)參見(jiàn)：https://www.wiz.io/blog/secretagentexposesazurecustomerstounauthorizedcodeexecution

來(lái)源：https://thehackernews.com/2021/09/criticalflawsdiscoveredinazureapp.htm

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/omigodmicrosoftazurevmsexploitedtodropmiraiminers/

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。