Azure OMIGOD漏洞在野利用,azure devops 實(shí)戰(zhàn)-ESG跨境

Azure OMIGOD漏洞在野利用,azure devops 實(shí)戰(zhàn)

在野外利用的Azure OMIGOD漏洞

攻擊者利用微軟Azure OMIGOD漏洞發(fā)布Mirai未來組合和礦機(jī)。

開放管理基礎(chǔ)設(shè)施(OMI，open management基礎(chǔ)facilities)是一款類似于Windows管理基礎(chǔ)設(shè)施(WMI，Windows management基礎(chǔ)facilities)的開源工具，專為L(zhǎng)inux和Unix系統(tǒng)設(shè)計(jì)，可用于IT環(huán)境監(jiān)控、資產(chǎn)管理和同步配置。

漏洞概述

OMI代理以最高權(quán)限r(nóng)oot運(yùn)行，任何用戶都可以使用Unix socket或者通過HTTP API與之通信。研究人員在微軟Azure OMIOMIGOD中發(fā)現(xiàn)了4個(gè)0天安全漏洞。攻擊者可以利用這些漏洞讓外部用戶或低權(quán)限用戶在目標(biāo)機(jī)器上遠(yuǎn)程執(zhí)行代碼或?qū)崿F(xiàn)權(quán)限提升:

CVE202138647 (CVSS得分:9.8)OMI遠(yuǎn)程代碼執(zhí)行漏洞

CVE202138648 (CVSS得分:7.8)OMI權(quán)限提升漏洞

CVE202138645 (CVSS得分:7.8)OMI權(quán)限提升漏洞

CVE202138649 (CVSS得分:7.0)OMI權(quán)限提升漏洞

4個(gè)0天漏洞中有3個(gè)是權(quán)限提升漏洞，攻擊者利用相關(guān)漏洞可以在安裝OMI的機(jī)器上獲得最高權(quán)限；第四個(gè)漏洞是遠(yuǎn)程代碼執(zhí)行漏洞，CVSS評(píng)分為9.8，是這四個(gè)漏洞中最嚴(yán)重的一個(gè)。

野生環(huán)境中的漏洞利用

9月，微軟在微軟補(bǔ)丁日修復(fù)了這四個(gè)安全漏洞。但隨后有研究人員發(fā)現(xiàn)，攻擊者利用相關(guān)漏洞進(jìn)行僵尸網(wǎng)絡(luò)攻擊，傳播加密貨幣挖掘惡意軟件。

德國(guó)安全研究員赫爾曼·費(fèi)爾南德斯(german fernández)表示，攻擊者掃描了暴露在互聯(lián)網(wǎng)上的Azure Linux虛擬機(jī)，發(fā)現(xiàn)超過110臺(tái)服務(wù)器存在漏洞。然后利用相關(guān)漏洞構(gòu)造僵尸網(wǎng)絡(luò)。

安全研究員凱文·博蒙特(Kevin Beaumont)還發(fā)現(xiàn)，攻擊者利用OMIGOD漏洞攻擊受影響的Azure機(jī)器，以部署加密貨幣礦工有效載荷。

如何保證Azure虛擬機(jī)安全

微軟發(fā)布了一個(gè)漏洞補(bǔ)丁，微軟也在向沒有啟用自動(dòng)更新的云客戶推快遞安全更新。雷德蒙表示，受影響的用戶必須安裝補(bǔ)丁。用戶也可以通過內(nèi)置的Linux包管理器手動(dòng)更新OMI代理，或者使用平臺(tái)的包管理器工具更新OMI，比如使用命令sudo aptget install omi或者sudo yum install omi。

更多技術(shù)細(xì)節(jié)見:https://www . wiz . io/blog/secretagentexposuresazurecustomerstounauthorizedcodeexecution。

來源:https://the hacker news . com/2021/09/criticalflagsdiscoveredinazureapp . htm

和參考資料來源:https://www . bleeping computer . com/news/security/OMI godMicrosoftazureVMsexploitedtodropmiraiminers/

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。