Уязвимость в облаке MS Azure Open Management Infrastructure (CVE-2021-38645, CVE-2021-38647, CVE-2021-38648, CVE-2021-38649)

Основные положения

14 сентября 2021 года Центр реагирования на проблемы безопасности Microsoft (MSRC) выпустил исправления безопасности с подробным описанием обнаруженных четырех критических уязвимостей, влияющих на инфраструктуру открытого управления пакетами Microsoft Azure (OMI). Пакет OMI с открытым исходным кодом предназначен для обеспечения переносимой инфраструктуры для веб-инструментов управления, таких как диагностический мониторинг, службы анализа журналов и функции автоматизации в системах UNIX и Linux. OMI используется Microsoft Azure для управления пакетами UNIX в виртуальных машинах (VM) Azure, контейнерах и безсерверных облачных экземплярах. Согласно примечаниям к выпуску системы безопасности Microsoft, любая система, созданная или обновившая свой пакет OMI после 11 августа 2021 года, должна быть автоматически исправлена.

Четыре критических уязвимости OMI

Четыре критические уязвимости, обнаруженные исследователями безопасности из Wiz, включают одну уязвимость для удаленного выполнения кода без проверки подлинности (RCE) и три уязвимости для повышения привилегий.

• CVE-2021-38645 – Privilege Escalation vulnerability
• CVE-2021-38647 – Unauthenticated RCE as root
• CVE-2021-38648 – Privilege Escalation vulnerability
• CVE-2021-38649 – Privilege Escalation vulnerability

Было обнаружено, что эти четыре уязвимости, получившие название OMIGOD, напрямую влияют на облачные экземпляры Azure, использующие следующие службы Azure:

• Azure Automation
• Azure Automatic Update
• Azure Operations Management Suite
• Azure Log Analytics
• Azure Configuration Management
• Azure Diagnostics

Агенты защитника Prisma Cloud Compute могут определить, уязвима ли какая-либо система Azure для любого из четырех перечисленных CVE. Кроме того, пользователи Prisma Cloud также могут создать пользовательское правило обнаружения уязвимостей, чтобы определить, работает ли в какой-либо системе пакет OMI с версией, предшествующей 1.6.8.1.

Чтобы создать пользовательское правило обнаружения уязвимостей, откройте PrismaCloud и перейдите на следующую страницу:

1. Compute > Manage > System > Custom Feeds > Custom Vulnerabilities > Import CSV
2. Создайте файл csv и заполните его следующим текстом:

name,type,package,minVersionInclusive,maxVersionInclusive,md5OMIGOD,package,omi,*,1.6.8.0,

Экземпляры межсетевых экранов Palo Alto Networks серий VM и CN на базе Microsoft Azure не используют пакет OMI и не подвержены критическим уязвимостям OMI.

Исправление

Prisma Cloud создаст предупреждение для любой системы, которая поддерживает пакет OMI, уязвимый для критических уязвимостей OMI. Если система будет определена как уязвимая, для этого экземпляра облака Azure следует предпринять следующие шаги:

1. Войдите в экземпляр Azure с помощью SSH.
2. Выполните следующую команду:

Debian – sudo apt list omi

CentOS – sudo yum list omi

1. Определите, является ли версия OMI ниже 1.6.8.1.
2. Если система содержит старую версию OMI, выполните действия, перечисленные на странице OMI GitHub.

Вывод

14 сентября 2021 года исследователи безопасности из Wiz опубликовали отчет с подробным описанием результатов четырех критических уязвимостей, влияющих на пакет Microsoft Azure OMI. Было обнаружено, что эти четыре уязвимости, получившие название OMIGOD, напрямую влияют на облачные экземпляры Azure.

Экземпляры межсетевых экранов Palo Alto Networks серий VM и CN на базе Microsoft Azure не используют пакет OMI и не подвержены критическим уязвимостям OMI.

Клиенты Prisma Cloud имеют возможность создавать оповещения для обнаружения перечисленных уязвимостей.

Бесплатно протестировать Prisma Cloud