Quatre failles de sécurité, récemment abordé dans Microsoft Windows Patch Tuesday pour septembre, pourrait permettre aux attaquants de cibler les clients du cloud Azure. Les failles pourraient permettre une escalade des privilèges et des attaques de prise de contrôle à distance sur les systèmes exposés.
en relation: Paysage des menaces Linux 2021: Malwares et vulnérabilités les plus répandus
Les vulnérabilités d'OMIGOD expliquées: CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649
Les quatre vulnérabilités ont été collectivement appelées OMIGOD par les chercheurs en sécurité de Wiz, qui les a découverts. "L'équipe de recherche de Wiz a récemment découvert une série de vulnérabilités alarmantes qui mettent en évidence le risque de la chaîne d'approvisionnement du code open source, notamment pour les clients des services de cloud computing,» Le rapport.
Qu'est-ce qui crée le problème? Le fait que l'agent OMI soit déployé en silence à l'insu du client:
Lorsque les clients configurent une machine virtuelle Linux dans leur cloud, l'agent OMI est automatiquement déployé à leur insu lorsqu'ils activent certains services Azure. Sauf si un patch est appliqué, les attaquants peuvent facilement exploiter ces quatre vulnérabilités pour passer aux privilèges root et exécuter à distance du code malveillant (par exemple, cryptage des fichiers contre rançon).
Les chercheurs ont décidé de nommer les défauts OMIGOD précisément parce que c'était leur réaction en les découvrant. L'estimation prudente est que des milliers de clients Azure et des millions de points de terminaison sont exposés. Dans un petit échantillon de locataires Azure, l'équipe a analysé, plus de 65% étaient sans le savoir en danger.
En d'autres termes, les problèmes graves affectent l'infrastructure de gestion ouverte (OMI), un agent logiciel déployé automatiquement dans un certain nombre de services Azure. Voici la liste des failles d'OMIGOD, répertorié selon le score CVSS:
- CVE-2021-38647, évalué avec un score CVSS de 9.8, est une vulnérabilité d'exécution de code à distance qui ne nécessite pas d'authentification (RCE non authentifié en tant que root);
- CVE-2021-38648, évalué avec un score CVSS de 7.8, permet l'élévation de privilèges;
- CVE-2021-38645, évalué avec un score CVSS de 7.8, permet l'élévation de privilèges;
- CVE-2021-38649, évalué avec un score CVSS de 7.0, permet l'élévation de privilèges.
Qu'est-ce que l'infrastructure de gestion ouverte (OMI)?
OMI est un produit open source équivalent à Windows Management Instructure (WMI). Cependant, il est conçu pour les systèmes Linux et UNIX, y compris CentOS, Oracle Linux, SUSE, Ubuntu, Debian, et serveurs Red Hat Enterprise Linux. L'outil permet de surveiller, gestion des stocks, et synchronisation entre divers environnements informatiques.
Qui est vulnérable aux quatre défauts d'OMIGOD?
Selon Wiz, Les clients Azure sur des machines Linux sont vulnérables s'ils utilisent des services spécifiques. Cela pourrait signifier plus de la moitié de toutes les instances Azure, selon Microsoft. Voici la liste des services exposant les utilisateurs Azure:
- Azure Automatisation
- Mise à jour automatique Azure
- Suite de gestion des opérations Azure (QUI)
- Azure Log Analytics
- Gestion des configurations Azure
- Diagnostic Azure
Il est à noter que cette liste n'est que partielle. L'équipe Wiz exhorte les clients qui pensent qu'ils pourraient être vulnérables à les contacter par e-mail pour plus d'informations.
« En plus des clients Azure cloud, d'autres clients Microsoft sont concernés car OMI peut être installé indépendamment sur n'importe quelle machine Linux et est fréquemment utilisé sur site. Par exemple, OMI est intégré à System Center pour Linux, La solution de gestion de serveur de Microsoft," le rapport note.