Vulnerabilidades de Azure OMIGOD explotadas activamente

20 Septiembre 2021
Crítico

Nuevamente el proveedor de seguridad en la nube Wiz, informó de un grupo de 4 vulnerabilidades de seguridad en Azure que afectan a las máquinas virtuales Linux. Las fallas se identificaron en Open Management Infrastructure, también conocida como OMI, un componente de software ampliamente utilizado integrado en muchos servicios populares de Azure. 

Anteriormente ya habíamos informado en la publicación “Vulnerabilidad crítica de Cosmos DB afecta a clientes de Azure“, un error descubierto por investigadores de Wiz, denominándola como “ChaosDB2” y fue revelada a Microsoft el 12 de agosto de 2021.

Omigod azure

La fuente del problema es un agente de software ubicuo, pero poco conocido llamado Open Management Infrastructure (OMI) que está integrado en muchos servicios populares de Azure.

Cuando los clientes configuran una máquina virtual Linux en su nube, el agente OMI se implementa automáticamente sin su conocimiento cuando habilitan ciertos servicios de Azure. A menos que se aplique un parche, los atacantes pueden explotar fácilmente estas cuatro vulnerabilidades para escalar a privilegios de root y ejecutar de forma remota código malicioso.

El equipo de investigación de Wiz entregó detalles técnicos en el siguiente enlace 

Actualización de OMI

Microsoft en su Patch Day, puso a disposición los parches para solucionar este conjunto de vulnerabilidades identificadas con las siguientes CVE:

  • CVE-2021-38647: RCE no autenticado como raíz (gravedad: 9,8)
  • CVE-2021-38648: Vulnerabilidad de escalamiento de privilegios (gravedad: 7.8)
  • CVE-2021-38645: Vulnerabilidad de escalamiento de privilegios (gravedad: 7.8)
  • CVE-2021-38649: Vulnerabilidad de escalamiento de privilegios (gravedad: 7.0)

La actualización de OMI se realiza a través del servicio principal de Azure que lo instaló. Sin embargo, instamos a los clientes a verificar que su entorno esté realmente parcheado y que estén ejecutando la última versión de OMI (Versión 1.6.8.1)

De no contar con la actualización, la compañía ha instado a los clientes a actualizar el software vulnerable manualmente para proteger sus puntos finales de los ataques que utilizan las vulnerabilidades de OMIGOD.

"Mientras se implementan las actualizaciones mediante prácticas de implementación seguras, los clientes pueden protegerse contra la vulnerabilidad de RCE asegurándose de que las VM (máquinas virtuales) se implementen dentro de un grupo de seguridad de red (NSG) o detrás de un firewall perimetral y restrinjan el acceso a los sistemas Linux que exponen los puertos OMI (TCP 5985, 5986 y 1207)", agregó el equipo de MSRC.

Mirai Botnet aprovechando la vulnerabilidad de Azure OMIGOD

Los atacantes han comenzado a explotar las vulnerabilidades críticas de Microsoft Azure que fueron reveladas y parcheadas a principios de esta semana. Investigadores han indicado que los atacantes están escaneando la web en busca de máquinas virtuales Linux de Azure que son vulnerables a CVE-2021-38647. Las firmas de seguridad Bad Packets y GreyNoise confirmaron esta actividad señalada previamente por el investigador de seguridad Germán Fernández, y que daría cuenta de que un operador de la botnet Mirai estaría entre los que escanean la web para encontrar futuras víctimas.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Azure #Parche #Microsoft #OMIGOD #OMI #CVE-2021-38647 #CVE-2021-38648 #CVE-2021-38645 #CVE-2021-38649
  • Productos Afectados
  • Producto Versión
    Microsoft Azure OMI anterior a 1.6.8.1


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.