Azure OMIGOD漏洞在野利用,azure devops 實戰

在野外利用的Azure OMIGOD漏洞

攻擊者利用微軟Azure OMIGOD漏洞發布Mirai未來組合和礦機。

開放管理基礎設施(OMI，open management基礎facilities)是一款類似于Windows管理基礎設施(WMI，Windows management基礎facilities)的開源工具，專為Linux和Unix系統設計，可用于IT環境監控、資產管理和同步配置。

漏洞概述

OMI代理以最高權限root運行，任何用戶都可以使用Unix socket或者通過HTTP API與之通信。研究人員在微軟Azure OMIOMIGOD中發現了4個0天安全漏洞。攻擊者可以利用這些漏洞讓外部用戶或低權限用戶在目標機器上遠程執行代碼或實現權限提升:

CVE202138647 (CVSS得分:9.8)OMI遠程代碼執行漏洞

CVE202138648 (CVSS得分:7.8)OMI權限提升漏洞

CVE202138645 (CVSS得分:7.8)OMI權限提升漏洞

CVE202138649 (CVSS得分:7.0)OMI權限提升漏洞

4個0天漏洞中有3個是權限提升漏洞，攻擊者利用相關漏洞可以在安裝OMI的機器上獲得最高權限；第四個漏洞是遠程代碼執行漏洞，CVSS評分為9.8，是這四個漏洞中最嚴重的一個。

野生環境中的漏洞利用

9月，微軟在微軟補丁日修復了這四個安全漏洞。但隨后有研究人員發現，攻擊者利用相關漏洞進行僵尸網絡攻擊，傳播加密貨幣挖掘惡意軟件。

德國安全研究員赫爾曼·費爾南德斯(german fernández)表示，攻擊者掃描了暴露在互聯網上的Azure Linux虛擬機，發現超過110臺服務器存在漏洞。然后利用相關漏洞構造僵尸網絡。

安全研究員凱文·博蒙特(Kevin Beaumont)還發現，攻擊者利用OMIGOD漏洞攻擊受影響的Azure機器，以部署加密貨幣礦工有效載荷。

如何保證Azure虛擬機安全

微軟發布了一個漏洞補丁，微軟也在向沒有啟用自動更新的云客戶推快遞安全更新。雷德蒙表示，受影響的用戶必須安裝補丁。用戶也可以通過內置的Linux包管理器手動更新OMI代理，或者使用平臺的包管理器工具更新OMI，比如使用命令sudo aptget install omi或者sudo yum install omi。

更多技術細節見:https://www . wiz . io/blog/secretagentexposuresazurecustomerstounauthorizedcodeexecution。

來源:https://the hacker news . com/2021/09/criticalflagsdiscoveredinazureapp . htm

和參考資料來源:https://www . bleeping computer . com/news/security/OMI godMicrosoftazureVMsexploitedtodropmiraiminers/

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。