{"id":18124,"date":"2021-09-21T19:52:20","date_gmt":"2021-09-21T22:52:20","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18124"},"modified":"2021-09-21T19:54:14","modified_gmt":"2021-09-21T22:54:14","slug":"vulnerabilities-in-omi-azure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/vulnerabilities-in-omi-azure\/18124\/","title":{"rendered":"Vulnerabilidades OMI amea\u00e7am m\u00e1quinas virtuais Linux no Azure"},"content":{"rendered":"

Surgiram not\u00edcias<\/a> de uma pr\u00e1tica bastante perigosa no Microsoft Azure, em que, quando um usu\u00e1rio cria uma m\u00e1quina virtual Linux e habilita certos servi\u00e7os do Azure, a plataforma instala automaticamente o agente Open Management Infrastructure<\/em> (OMI). Mas o usu\u00e1rio n\u00e3o saber\u00e1 disso.<\/p>\n

Embora uma instala\u00e7\u00e3o furtiva possa parecer terr\u00edvel \u00e0 primeira vista, esta realmente n\u00e3o seria t\u00e3o ruim se n\u00e3o fosse por dois problemas: primeiro, o agente tem vulnerabilidades conhecidas e, segundo, n\u00e3o tem mecanismo de atualiza\u00e7\u00e3o autom\u00e1tica no Azure. At\u00e9 que a Microsoft resolva esse problema, as organiza\u00e7\u00f5es que usam m\u00e1quinas virtuais Linux no Azure precisar\u00e3o agir.<\/p>\n

Vulnerabilidades no Open Management Infrastructure e como os invasores podem explor\u00e1-las<\/h2>\n

Na Patch Tuesday de setembro, a Microsoft lan\u00e7ou atualiza\u00e7\u00f5es de seguran\u00e7a para quatro vulnerabilidades no agente Open Management Infrastructure. Uma deles, CVE-2021-38647<\/a>, permite execu\u00e7\u00e3o remota de c\u00f3digo (remote code execution, RCE em ingl\u00eas) e \u00e9 cr\u00edtico, e os outros tr\u00eas, CVE-2021-38648<\/a>, CVE-2021-38645<\/a>, e CVE-2021-38649<\/a> podem ser usados para privil\u00e9gios por escalonamento (privilege escalation, LPE em ingl\u00eas) em ataques de v\u00e1rios est\u00e1gios quando os invasores penetram na rede da v\u00edtima com anteced\u00eancia. Essas tr\u00eas vulnerabilidades t\u00eam pontua\u00e7\u00e3o alta no CVSS.<\/p>\n

Quando usu\u00e1rios do Microsoft Azure criam uma m\u00e1quina virtual Linux e habilitam uma s\u00e9rie de servi\u00e7os, o OMI \u2013 com vulnerabilidades e tudo mais \u2013 \u00e9 implantado no sistema automaticamente. Os servi\u00e7os incluem Automa\u00e7\u00e3o, Atualiza\u00e7\u00e3o Autom\u00e1tica , Pacote de Gerenciamento de Opera\u00e7\u00f5es, Azure Log Analytics, Gerenciamento de Configura\u00e7\u00e3o e Diagn\u00f3stico, uma lista que provavelmente est\u00e1 longe de estar completa. O agente Open Management Infrastructure por si s\u00f3 tem os privil\u00e9gios mais altos no sistema e, como suas tarefas incluem a coleta de estat\u00edsticas e configura\u00e7\u00f5es de sincroniza\u00e7\u00e3o, geralmente \u00e9 acess\u00edvel pela Internet por meio de v\u00e1rias portas HTTP, dependendo dos servi\u00e7os habilitados.<\/p>\n

Por exemplo, se a porta de escuta for 5986, os invasores podem explorar a vulnerabilidade CVE-2021-38647 e executar c\u00f3digos maliciosos remotamente. Se o OMI estiver dispon\u00edvel para gerenciamento remoto (por meio da porta 5986, 5985 ou 1270), os golpistas podem explorar a mesma vulnerabilidade para obter acesso a toda a vizinhan\u00e7a da rede no Azure. Especialistas dizem que a brecha \u00e9 muito f\u00e1cil de explorar.<\/p>\n

\n

This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com\/iIHNyqgew4<\/a><\/p>\n

\u2014 Ami Luttwak (@amiluttwak) September 14, 2021<\/a><\/p><\/blockquote>\n