Upozorňujeme na závažné zranitelnosti v softwarovém agentovi OMI (Open Management Infrastructure). Jedná se o software pro správu, který je obdobou WMI ve Windows (Windows Management Instrumentation) a je automaticky instalován na virtuální stroje s operačním systémem Linux v Azure.  

OMI agent běží s vysokým oprávněním uživatele root. Útočník může docílit vzdáleného spuštění kódu a eskalaci práv na cílovém systému, a to zasláním speciálně upraveného paketu na OMI rozhraní. V případě publikace OMI portů (5986/5985/1270) do internetu je zde vysoké riziko zneužití zranitelností, přičemž by tak útočník zvenčí mohl získat prvotní přístup do Azure prostředí oběti a následně ovládnout další provozované stroje.

V současné době je již na tyto zranitelnosti veřejně k dispozici proof-of-concept, existuje tedy vysoké riziko zneužití zranitelností k útoku.

Za pomoc se zpracováním děkujeme Ministerstvu vnitra ČR. 

Identifikátory:  CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649 
CVSS3.0: 9.8, 7.8, 7.8, 7.0 

Systém/program: OMI na systémech Linux běžící v Azure  
Zranitelná verze: 1.6.8.0 a nižší 
Opravená verze: 1.6.8.1  

Vektor zneužítí: Síť 
Složtost útoku: Nízká 
Vyžadovaná oprávnění: Žádná 
Vyžadovaná interakce uživatele: Ne 

Zranitelné systémy: 

- Linuxové stroje běžící v Azure s aktivovanými nástroji či službami: 

  • Azure Automation 
  • Azure Automatic Update 
  • Azure Operations Management Suite 
  • Azure Log Analytics 
  • Azure Configuration Management 
  • Azure Diagnostics 
  • Azure Container Insights 

- Stroje s nainstalovaným System Center for Linux. 

Pozn. výčet nemusí být konečný  

Doporučení: 

- bezodkladně nainstalovat poslední dostupné bezpečnostní záplaty (verze OMI1.6.8-). 

Dle dostupných informací ze strany Microsoftu nedochází k automatickým aktualizacím OMI agenta. 

- ověřit, že rozhraní OMI agenta s porty 5986, 5985 a 1270 není vystaveno do internetu či do jiné nezabezpečené sítě. 

Reference: