Dénommée sous l’appellation « OMIGOD », quatre vulnérabilités de type « zero-day » affectant le produit Microsoft Azure ont récemment été publiées et corrigées par Microsoft.
L’exploitation des vulnérabilités d’OMIGOD permet d’exécuter du code arbitraire à distance ou élever des privilèges sur des machines virtuelles Linux vulnérables s’exécutant sur Azure.
DESCRIPTION
OMI (Open Management Infrastructure) est l’équivalent Open-source de Windows Management Infrastructure (WMI) pour les systèmes UNIX/Linux qui permet la surveillance, la gestion des stocks et la synchronisation des configurations dans un environnement informatique.
La vulnérabilité la plus critique est celle libellée CVE-2021-38647. La faille permet une d’exécution de code à distance en tant que « root » par la simple suppression de l’en-tête d’authentification. Certains services Azure, notamment « Azure Configuration Management » exposent les ports HTTPS (5985 – 5986 – 1720) afin d’interagir avec OMI : ce qui rend l’exécution de code arbitraire à distance possible.
Par ailleurs, trois des quatre « zero-day » découverts sont des vulnérabilités d’élévation de privilèges. Ils permettent aux attaquants d’acquérir les privilèges les plus élevés sur une machine sur laquelle OMI est installé. Les attaquants utilisent souvent les vulnérabilités de ce type dans le cadre d’attaques en chaîne sophistiquées, suite à l’obtention d’un accès initial ayant moins de privilèges sur le système cible. Ces vulnérabilités sont libellées CVE-2021-38648, CVE-2021-38645 et CVE-2021-38649.
IMPACT
- Exécution de code à distance
- Compromission du système
SYSTEMES AFFECTÉS
- Azure Automation
- Azure Automatic Update
- Azure Operations Management Suite (OMS)
- Azure Log Analytics
- Azure Configuration Management
- Azure Diagnostics
SOLUTIONS
Microsoft a mis un correctif à la disposition des clients lors de la publication du « Patch Tuesday » de septembre 2021.
Il est fortement recommandé d’appliquer le correctif et de s’assurer que cela soit la dernière version d’OMI (version 1.6.8.1).
Il est également recommandé de vérifier si les ports 5985, 5986, 1270 sont exposés et limiter immédiatement l’accès réseau à ces ports.
Source : The Hacker News
