OMIGOD: la vulnerabilità nelle VM Azure

Un paio di settimane fa è esploso un nuovo caso attorno alle macchine virtuali Azure, e on-premises, e nello specifico quelle Linux con a bordo le Open Management Infrastructure. Nel dettaglio, sono tre le vulnerabilità di tipo Elevation of Privilege (EoP) (CVE-2021-38645CVE-2021-38649CVE-2021-38648) ed una vulnerabilità di tipo Remote Code Execution (RCE) (CVE-2021-38647).

Open Management Infrastructure (OMI) è un’implementazione WBEM (Web-Based Enterprise Management) open-source per la gestione di sistemi Linux e UNIX. Diverse estensioni di gestione delle macchine virtuali (VM) di Azure usano questo framework per orchestrare la gestione della configurazione e la raccolta dei log nelle VM Linux.

Prima di creare strane preoccupazioni, ci sono tre scenari che possono portare alla compromissione:

  • Pubblicazione non filtrata o pubblica delle porte 1270, 5986, 5985
  • Versione dell’agent OMI inferiore alla v1.6.8-1
  • Utilizzo di SCOM, Azure Automation o Azure Desired State Configuration

Se nessuna di queste condizioni è rispettata, allora non dovete fare niente per le vostre macchine virtuali.

In poche parole, chiunque abbia accesso a un endpoint che esegue una versione vulnerabile può eseguire comandi arbitrari su una richiesta HTTP senza un’intestazione di autorizzazione. Normalmente si dovrebbe ricevere una risposta 401 (non autorizzato), tuttavia l’exploit consente all’utente di eseguire comandi con privilegi di root.

Per difendersi dalla cosa è necessario rispettare una serie di regole:

  • Aggiornare gli agent OMI
  • Aggiornare i Management Pack di SCOM
  • Chiudere eventuali porte non necessarie
  • Utilizzare i Network Security Group
  • Utilizzare Azure Defender e Azure Security Center per verificare la compliance della macchina
  • Utilizzare Azure Sentinel per verificare la compromissione della macchina

In merito all’ultimo punto, il team di security ha pubblicato una serie di query e hunting rule per capire se la vostra macchina è stata attaccata o meno – Hunting for OMI Vulnerability Exploitation with Azure Sentinel – Microsoft Tech Community

Ovviamente, per eseguire le query nel dettaglio, è necessario che sia presente l’agent di Log Analytics all’interno della macchina e che vengano catturati i log.

Maggiori informazioni sul problema e sul suo avanzamento di risoluzione sono disponibili in questo articolo – Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions – Microsoft Security Response Center.