SIKKERHET

Mengder av Linux-servere i Azure kan være sårbare for angrep med root-tilgang

Utnyttes allerede til utplassering av skadevare.

Sårbarhetene knyttet til Open Management Infrastructure i blant annet Microsoft Azure, har fått både eget navn og logo.
Sårbarhetene knyttet til Open Management Infrastructure i blant annet Microsoft Azure, har fått både eget navn og logo. Illustrasjon: Wiz
Harald BrombachHarald BrombachNyhetsleder
20. sep. 2021 - 09:37

Som Digi.no omtalte i forrige uke, har Microsoft kommet med sikkerhetsfikser til Azure Open Management Infrastructure (OMI), en åpen kildekode-basert teknologi som gjerne benyttes i forbindelse med Linux-baserte virtuelle maskiner (VM) i skytjenesten Azure. Sårbarhetene ble opprinnelig oppdaget av sikkerhetsforskere i det amerikanske selskapet Wiz. De har kalt sårbarhetene for OMIGod etter sin egen reaksjon da sårbarhetene ble oppdaget.

I alt dreier det seg om fire sårbarheter. Tre av dem åpner for forhøyede privilegier, mens den siste gir angripere mulighet til å fjernkjøre vilkårlig kode som root-brukeren.  

Installeres uten kundenes kjennskap

Ifølge Wiz er det hele knyttet til en programvareagent som er integrert i mange populære Azure-tjenester. Når en Azure-kunde setter opp en Linux-VM, vil OMI-agenten automatisk rulles ut, uten at kundene blir opplyst om dette, dersom de aktiverer visse Azure-tjenester. OMI kjøres med høyest mulig privilegier.

De aktuelle tjenestene inkluderer i alle fall disse, men langt fra alle gjør systemet sårbart:

  • Azure Automation
  • Azure Automatic Update
  • Azure Operations Management Suite (OMS)
  • Azure Log Analytics
  • Azure Configuration Management
  • Azure Diagnostics
  • Azure Container Insights

Microsoft har tidligere opplyst at mer enn halvparten av alle instansene i Azure er Linux-baserte. Wiz har analysert et lite utvalg og fant at mer enn 65 prosent av instansene i utvalget var berørte. Det skal dreie seg om tusenvis av kunder og millioner av endepunkter.

Ryktene vil ha det til at Southwest airlines slapp billig unna Crowdstrike-feilen fordi de bruker Windows-versjoner som er 30 år gamle, men sannsynligvis er det ikke riktig.
Les også

Nei, de slapp ikke unna fordi de bruker eldgammel Windows

Ikke bare i skyen

Også Microsoft-kunder med mer lokale Linux-installasjoner kan være berørt, siden OMI følger med og blir installert av også andre Microsoft-produkter. Ifølge Wiz er System Center for Linux et eksempel på dette. 

Utnyttelse av sårbarhetene forutsetter at visse porter har åpnet for fjerntilgang. For eksempel skal Azure Configuration Management eksponere en HTTPS-port (TCP-portene 5986/5985/1270) for kommunikasjon med OMI. De fleste andre Azure-tjenester kan derimot bruke OMI uten å eksponere denne porten. 

Fjern headeren, få full root-tilgang

Wiz omtaler sårbarheten som noe man kunne ha ventet å se på 1990-tallet, men svært uvanlig i dag. Det skal være svært enkelt for en angriper å oppnå root-privilegier. Det handler bare om å fjerne autentiseringsheaderen i én eneste nettverkspakke. Alle forespørsler uten slik pakke får privilegiene satt til uid=0, gid=0, noe som er det samme som root. 

Like før helgen ble blant annet Wiz gjort kjent med at det foregår omfattende forsøk på å utnytte OMIGod-sårbarhetene til å spre skadevare, inkludert Mirai-botnettet og kryptovalutautvinnere. Bleeping Computer har samlet uttalelser fra en rekke sikkerhetsforskere som bekreftet dette. 

Delvis automatisk oppdatering

For å fjerne sårbarhetene, kan det være nødvendig for de berørte kundene å installere sikkerhetsoppdateringen manuelt. Microsoft jobber med å få på plass automatiske oppdateringer knyttet til en del av de berørte produktene og tjenestene, men ikke alle er klare ennå, og i noen tilfeller må oppdateringene uansett installeres manuelt. En oversikt finnes i en tabell på denne siden.

På den samme siden opplyses det hva administratorer av systemer som faktisk er berørt av OMIGod kan gjøre for å sjekke om sårbarhetene har blitt utnyttet. 

For øvrig anbefales det at tilgangen til Linux-systemer som eksponerer OMI-portene (TCP-portene 5986/5985/1270), begrenses. 

Bytter roller i Capgemini Norge: Fra venstre: Jens Middborg blir COO, Siren Sundby blir sjef for Capgemini Invent i Norge og Karl Thomas Reinertsen overtar som øverste leder i Capgemini Norge
Les også

Capgemini Norge får ny toppledelse

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.