儘管微軟表示深愛 Linux,但這點並沒有在 Azure 雲端得到很好的貫徹。Wiz 安全研究團隊近日指出,他們在諸多流行的 Azure 服務中,發現了開放管理基礎設施(OMI)軟件代理中存在的一系列嚴重漏洞。問題在於當 Azure 客戶在雲端設置 Linux 虛擬機服務時,OMI 代理會在他們不知情的情況下自動部署。
(來自:Wiz Research)
但除非及時打上了補丁,否者攻擊者就能夠利用四個漏洞來獲得提升后的 root 權限,從而遠程執行任意惡意代碼(比如加密文件以勒索贖金)。
更糟糕的是,黑客只需發送一個剔除了身份驗證標頭的數據包,即可滲透並取得遠程機器上的 root 訪問權限。若 OMI 開放了 5986、5985 或 1270 端口,系統就更容易受到攻擊。
據悉,由於一個簡單的條件語句編程錯誤、結合未初始化的 auth 結構,任何缺乏 Authorization 標頭的請求,都被默認賦予了 uid=0、gid=0 的 root 級別權限。
Wiz 將該漏洞稱作“OMIGOD”,並推測 Azure 上多達 65% 的 Linux 部署都受到影響。慶幸的是,微軟已經發布了 1.6.8.1 修補版本的 OMI 軟件代理,同時建議客戶手動執行更新。
最後,Wiz 建議用戶酌情選擇是否允許 OMI 監聽 5985、5986、1270 這三個端口。如非必要,還請立即限制對這些端口的訪問,以封堵 CVE-2021-38647 遠程代碼執行(RCE)漏洞。