Kritiska brister i OMI påverkar mängder av Azure-kunder

Fyra kritiska sårbarheter har upptäckts i Azures OMI som påverkar mängder av Azure-kunder. Sårbarheterna är mycket enkla att utnyttja för oautentiserad Remote Code Execution (RCE) och eskalering till root-privilegier, och är därmed allvarliga.

Igår, 14/9, rapporterade Wiz Research Team att de har identifierat fyra kritiska sårbarheter i Azures OMI, en agentmjukvara som används av mängder av Azure-kunder som kör Linux på sina virtuella maskiner.

Flera tjänster i Azure ska ha påverkas, inklusive Azure Log Analytics, Azure Diagnostics och Azure Security Center, då Microsoft stor utsträckning använder OMI som en gemensam komponent för många av sina hanteringstjänster för virtuella maskiner.

Sårbarheterna kan i sin tur med stor enkelhet utnyttjas för oautentiserad RCE (fjärrkörd kod i nätverket), och eskalering till root-privilegier genom en enda request, vilket innebär full kontroll över maskinen.

Enligt Wiz Research Team omfattas en stor del av de organisationer som använder Azure, då det räcker att de använder en eller fler av följande tjänster;

• Azure Automation
• Azure Automatic Update
• Azure Operations Management Suite
• Azure Log Analytics
• Azure Configuration Management
• Azure Diagnostics

I samband med Patch Tuesday patchade Microsoft en del av sårbarheterna på egen hand. Dessa kan dock behöva kompletteras med manuella patchar, vilket användare kan göra genom att ladda ner och installera OMI client v1.6.8.1 som släpptes på GitHub förra månaden.

Wiz Research Team har även släppt ytterligare en bloggpost med detaljerad information om hur du tar reda på om och hur du är sårbar, samt vilka åtgärder du bör ta till om du är det.

Sårbarhetsbeskrivningar:

• CVE-2021-38647 – Unauthenticated RCE as root
• CVE-2021-38648 – Privilege Escalation vulnerability
• CVE-2021-38645 – Privilege Escalation vulnerability
• CVE-2021-38649 – Privilege Escalation vulnerability