OMIGOD: Vulnerabilità critiche dei servizi cloud Azure

Pubblicato da frtg il

Nelle scorse settimane, Microsoft ha identificato quattro vulnerabilità critiche relative allo strumento di gestione delle infrastrutture OMI, installato nelle macchine deployate tramite Azure. Le vulnerabilità permetterebbero l’esecuzione di codice da remoto con privilegi amministrativi.

Il software OMI e le vulnerabilità scoperte

OMI (Open Management Infrastructure) è un progetto Open Source sponsorizzato da Microsoft, in collaborazione con The Open Group. Lo strumento, sviluppato per girare su sistemi Unix, implementa lo standard CIM (Common Information Model) per la gestione dei componenti del sistema e delle informazioni ad essi associate. OMI permette di raccogliere informazioni statistiche e sincronizzare configurazioni tra più ambienti. Per questo motivo, lo strumento viene utilizzato da diversi servizi Azure. come Open Management Suite (OMS), Azure Insights e Azure Automation.

L’agente OMI viene deployato automaticamente e senza che l’utente ne sia a conoscenza durante la creazione di macchine virtuali Linux alla quale vengono aggiunti servizi di gestione e monitoraggio da remoto. I servizi che coinvolgono il deploy dello strumento da parte di Azure sono:

  • Azure Automation
  • Azure Automatic Update
  • Azure Operations Management Suite (OMS)
  • Azure Log Analytics
  • Azure Configuration Management
  • Azure Diagnostics
  • Azure Container Insights

OMI può essere installato anche in maniera indipendente ed è spesso presente in sistemi on-premise.

Le quattro vulnerabilità scoperte sono state raggruppate dal team di ricerca di Wiz sotto l’identificativo OMIGOD e sono le seguenti:

  • CVE-2021-38647 – RCE non autenticata con privilegi di root
  • CVE-2021-38648 – Privilege Escalation
  • CVE-2021-38645 – Privilege Escalation
  • CVE-2021-38649 – Privilege Escalation

Come rimediare

Microsoft ha già rilasciato un aggiornamento di OMI (vesione 1.6.8.1) in cui vengono incluse le patch relative le vulnerabilità citate. Per ridurre il rischio di attacco è consigliato limitare l’accesso alle porte 5985, 5986, 1270 se esposte in rete da OMI.