Národní úřad pro kybernetickou a informační bezpečnost

Do gesce Národního úřadu pro kybernetickou a informační bezpečnost patří také organizace a příprava kybernetických cvičení. Cvičení hrají nezastupitelnou roli při zajišťování kybernetické bezpečnosti České republiky. Umožňují věrně simulovat rozličné typy krizových situací a slouží jak technickému publiku, tak pracovníkům na nejvyšší úrovni s rozhodovacími pravomocemi. Při jejich tvorbě a provedení je zásadní úzká kooperace s dalšími partnery v rámci tzv. whole-of-government přístupu. Vedle edukativního prvku cvičení pomáhají budovat důvěru a utužovat vzájemné vztahy.

Hrozby

Upozornění na závažné zranitelnosti ohrožující systémy Linux v Azure

Upozorňujeme na závažné zranitelnosti v softwarovém agentovi OMI (Open Management Infrastructure). Jedná se o software pro správu, který je obdobou WMI ve Windows (Windows Management Instrumentation) a je automaticky instalován na virtuální stroje s operačním systémem Linux v Azure.

OMI agent běží s vysokým oprávněním uživatele root. Útočník může docílit vzdáleného spuštění kódu a eskalaci práv na cílovém systému, a to zasláním speciálně upraveného paketu na OMI rozhraní. V případě publikace OMI portů (5986/5985/1270) do internetu je zde vysoké riziko zneužití zranitelností, přičemž by tak útočník zvenčí mohl získat prvotní přístup do Azure prostředí oběti a následně ovládnout další provozované stroje.

V současné době je již na tyto zranitelnosti veřejně k dispozici proof-of-concept, existuje tedy vysoké riziko zneužití zranitelností k útoku.

Za pomoc se zpracováním děkujeme Ministerstvu vnitra ČR.

Identifikátory:  CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649 CVSS3.0: 9.8, 7.8, 7.8, 7.0

Systém/program: OMI na systémech Linux běžící v Azure Zranitelná verze: 1.6.8.0 a nižší Opravená verze: 1.6.8.1

Vektor zneužítí: Síť Složtost útoku: Nízká Vyžadovaná oprávnění: Žádná Vyžadovaná interakce uživatele: Ne

Zranitelné systémy:

- Linuxové stroje běžící v Azure s aktivovanými nástroji či službami:

Azure Automation Azure Automatic Update Azure Operations Management Suite Azure Log Analytics Azure Configuration Management Azure Diagnostics Azure Container Insights

- Stroje s nainstalovaným System Center for Linux.

Pozn. výčet nemusí být konečný

Doporučení:

- bezodkladně nainstalovat poslední dostupné bezpečnostní záplaty (verze OMI1.6.8-).

Dle dostupných informací ze strany Microsoftu nedochází k automatickým aktualizacím OMI agenta.

- ověřit, že rozhraní OMI agenta s porty 5986, 5985 a 1270 není vystaveno do internetu či do jiné nezabezpečené sítě.

Reference:

https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure Microsoft fixes OMIGOD bugs in secret Azure app - The Record by Recorded Future Microsoft fixes critical bugs in secretly installed Azure Linux app (bleepingcomputer.com) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649 Celá zpráva 17.09.2021