Azure OMIGOD漏洞在野利用,azure devops 实战-ESG跨境

Azure OMIGOD漏洞在野利用,azure devops 实战

在野外利用的Azure OMIGOD漏洞

攻击者利用微软Azure OMIGOD漏洞发布Mirai未来组合和矿机。

开放管理基础设施(OMI，open management基础facilities)是一款类似于Windows管理基础设施(WMI，Windows management基础facilities)的开源工具，专为Linux和Unix系统设计，可用于IT环境监控、资产管理和同步配置。

漏洞概述

OMI代理以最高权限root运行，任何用户都可以使用Unix socket或者通过HTTP API与之通信。研究人员在微软Azure OMIOMIGOD中发现了4个0天安全漏洞。攻击者可以利用这些漏洞让外部用户或低权限用户在目标机器上远程执行代码或实现权限提升:

CVE202138647 (CVSS得分:9.8)OMI远程代码执行漏洞

CVE202138648 (CVSS得分:7.8)OMI权限提升漏洞

CVE202138645 (CVSS得分:7.8)OMI权限提升漏洞

CVE202138649 (CVSS得分:7.0)OMI权限提升漏洞

4个0天漏洞中有3个是权限提升漏洞，攻击者利用相关漏洞可以在安装OMI的机器上获得最高权限；第四个漏洞是远程代码执行漏洞，CVSS评分为9.8，是这四个漏洞中最严重的一个。

野生环境中的漏洞利用

9月，微软在微软补丁日修复了这四个安全漏洞。但随后有研究人员发现，攻击者利用相关漏洞进行僵尸网络攻击，传播加密货币挖掘恶意软件。

德国安全研究员赫尔曼·费尔南德斯(german fernández)表示，攻击者扫描了暴露在互联网上的Azure Linux虚拟机，发现超过110台服务器存在漏洞。然后利用相关漏洞构造僵尸网络。

安全研究员凯文·博蒙特(Kevin Beaumont)还发现，攻击者利用OMIGOD漏洞攻击受影响的Azure机器，以部署加密货币矿工有效载荷。

如何保证Azure虚拟机安全

微软发布了一个漏洞补丁，微软也在向没有启用自动更新的云客户推快递安全更新。雷德蒙表示，受影响的用户必须安装补丁。用户也可以通过内置的Linux包管理器手动更新OMI代理，或者使用平台的包管理器工具更新OMI，比如使用命令sudo aptget install omi或者sudo yum install omi。

更多技术细节见:https://www . wiz . io/blog/secretagentexposuresazurecustomerstounauthorizedcodeexecution。

来源:https://the hacker news . com/2021/09/criticalflagsdiscoveredinazureapp . htm

和参考资料来源:https://www . bleeping computer . com/news/security/OMI godMicrosoftazureVMsexploitedtodropmiraiminers/

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。