OMIGOD, le vulnerabilità che espongono gli utenti Azure a cyber attacchi: come difendersi - Cyber Security 360

L'ANALISI TECNICA

OMIGOD, le vulnerabilità che espongono gli utenti Azure a cyber attacchi: come difendersi

Sono state ribattezzate OMIGOD le quattro vulnerabilità identificate nell’agent software Open Management Infrastructure (OMI) e già affrontate da Microsoft che potrebbero esporre gli utenti Azure ad attacchi mirati a prendere il controllo dei sistemi target. Ecco come mitigare il rischio

17 Set 2021
D
Manuel De Stefano

IT Process Expert

In occasione del Patch Tuesday di settembre, Microsoft ha risolto quattro vulnerabilità critiche note collettivamente come OMIGOD e identificate nel software Open Management Infrastructure (OMI) che potrebbero essere sfruttate da un threat actor per colpire gli utenti del cloud Azure di Microsoft.

In particolare, l’exploit delle vulnerabilità potrebbe consentire ad un attaccante di elevare i propri privilegi e prendere il controllo remoto dei sistemi vulnerabili.

L’agent software Open Management Infrastructure (OMI) è un componente poco conosciuto che viene automaticamente distribuito in numerosi server Azure. OMI può essere visto come l’equivalente open source di Windows Management Infrastructure (WMI) ma progettato per sistemi Linux e UNIX tra cui CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux e Ubuntu.

Si tratta, in particolare, di un servizio software che consente il monitoraggio, la gestione dell’inventario e la sincronizzazione delle configurazioni tra i differenti ambienti IT, con supporto per la maggior parte dei sistemi UNIX e delle moderne piattaforme Linux, utilizzato da più servizi Azure, tra cui Open Management Suite (OMS), Azure Insights e Azure Automation.

Azurescape, la vulnerabilità che apre le porte degli account cloud su Microsoft Azure

OMIGOD: i dettagli delle vulnerabilità

Le vulnerabilità, ora risolte da Microsoft, sono le seguenti, tutte di tipo RCE (Remote Code Execution):

  • CVE-2021-38647 (punteggio CVSS: 9.8)
  • CVE-2021-38648 (punteggio CVSS: 7.8)
  • CVE-2021-38645 (punteggio CVSS: 7.8)
  • CVE-2021-38649 (punteggio CVSS: 7.0)

ed espongono a possibili attacchi informatici gli utenti Azure su macchine Linux e quelli di Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management e Azure Diagnostics.

La gravità delle vulnerabilità è data anche dal fatto che OMI viene in un certo senso installato “segretamente” su macchine Linux di Azure, che rappresentano più della metà delle istanze del cloud Microsoft.

Quando gli utenti abilitano uno di questi servizi, OMI viene silenziosamente installato sulla loro macchina virtuale e, una volta in esecuzione, gli vengono assegnati i più alti privilegi possibili. Inoltre, questo accade senza il consenso esplicito degli utenti ai quali, semplicemente, viene chiesto di accettare la raccolta dei log durante la configurazione.

Di fatto, quindi, gli utenti sono all’oscuro della presenza di questo agent software e non prestare la necessaria attenzione alla sua messa in sicurezza.

Come avviene l’exploit delle vulnerabilità

Il bug più grave, CVE-2021-38647, potrebbe essere sfruttato da un utente malintenzionato remoto e non autenticato inviando un messaggio appositamente predisposto tramite HTTPS alla porta attiva di OMI su un sistema vulnerabile.

Con un singolo pacchetto, un utente malintenzionato può diventare root su una macchina remota semplicemente rimuovendo l’intestazione di autenticazione.

Grazie alla combinazione di un semplice errore di codifica dell’istruzione condizionale e di una struttura di autenticazione non inizializzata, qualsiasi richiesta senza un’intestazione di autorizzazione ha i suoi privilegi predefiniti su uid=0, gid=0, che è root. Questa vulnerabilità consente l’acquisizione remota quando OMI espone la porta di gestione HTTPS esternamente (5986/5985/1270).

Tutte le vulnerabilità sono state rilevate dai ricercatori della società di sicurezza cloud Wiz, Nir Ohfeld e Shir Tamari che hanno pubblicato anche un dettagliato rapporto tecnico.

Come proteggere gli endpoint Azure Linux

Microsoft ha rilasciato una versione OMI con patch (1.6.8-1) come soluzione alle vulnerabilità OMIGOD. Inoltre, ha consigliato ai clienti di aggiornare manualmente OMI.

Attualmente, infatti, non esiste un meccanismo di aggiornamento automatico che Microsoft può utilizzare per aggiornare gli agent vulnerabili su tutte le macchine Azure Linux e quindi gli utenti sono di fatto obbligati ad aggiornarlo manualmente per proteggere gli endpoint da eventuali attacchi in arrivo utilizzando gli exploit OMIGOD.

Per farlo, è necessario seguire questa procedura:

  • aggiungere, innanzitutto, l’MSRepo al sistema. In base al sistema operativo Linux utilizzato, è possibile fare riferimento a questa guida pratica per installare il repository;
  • quindi, occorre usare il package manager della propria distribuzione Linux per aggiornare OMI (ad esempio, con i comandi sudo apt-get install omi oppure sudo yum install omi).

Infine, se abbiamo OMI attivo sulle porte 5985, 5986, 1270, il consiglio è quello di limitare immediatamente l’accesso alla rete a tali porte per proteggersi dalla vulnerabilità RCE (CVE-2021-38647).

@RIPRODUZIONE RISERVATA

Articolo 1 di 4