Microsoft abordó el martes un cuarteto de fallas de seguridad como parte de sus actualizaciones del martes de parches que los adversarios podrían abusar para apuntar a los clientes de la nube de Azure y elevar los privilegios, así como permitir la toma de control remota de sistemas vulnerables.
La lista de fallas, denominada colectivamente OMIGOD por los investigadores de Wiz, afecta a un agente de software poco conocido llamado Open Management Infrastructure que se implementa automáticamente en muchos servicios de Azure:
- CVE-2021-38647 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código de infraestructura de gestión abierta
- CVE-2021-38648 (puntuación CVSS: 7.8) – Vulnerabilidad de elevación de privilegios de infraestructura de administración abierta
- CVE-2021-38645 (puntuación CVSS: 7.8) – Vulnerabilidad de elevación de privilegios de infraestructura de administración abierta
- CVE-2021-38649 (puntuación CVSS: 7.0): vulnerabilidad de elevación de privilegios de infraestructura de administración abierta
Open Management Infrastructure ( OMI ) es un equivalente de código abierto análogo a Windows Management Infrastructure (WMI) pero diseñado para sistemas Linux y UNIX como CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux y Ubuntu que permite monitorización, gestión de inventario y sincronización de configuraciones en entornos de TI.
Los clientes de Azure en máquinas Linux, incluidos los usuarios de Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management y Azure Diagnostics, corren el riesgo de ser explotados.
«Cuando los usuarios permiten a cualquiera de estos servicios populares, OMI se instala en silencio en su máquina virtual, corriendo a los privilegios más altos posibles,» Wiz investigador de seguridad Nir Ohfeld dijo . «Esto sucede sin el consentimiento o conocimiento explícito de los clientes. Los usuarios simplemente hacen clic en aceptar la recopilación de registros durante la configuración y, sin saberlo, han optado por participar».
«Además de los clientes de la nube de Azure, otros clientes de Microsoft se ven afectados porque OMI se puede instalar de forma independiente en cualquier máquina Linux y se utiliza con frecuencia en las instalaciones», añadió Ohfeld.
Dado que el agente OMI se ejecuta como root con los privilegios más altos, los actores externos o los usuarios con pocos privilegios podrían abusar de las vulnerabilidades antes mencionadas para ejecutar de forma remota el código en las máquinas de destino y escalar los privilegios, lo que permite a los actores de amenazas aprovechar los permisos elevados para montar ataques sofisticados.
La más crítica de las cuatro fallas es una falla de ejecución remota de código que surge de un puerto HTTPS expuesto a Internet como 5986, 5985 o 1270, lo que permite a los atacantes obtener acceso inicial a un entorno de Azure objetivo y luego moverse lateralmente dentro de la red.
«Esta es una vulnerabilidad de RCE de libro de texto que esperaría ver en los años 90; es muy inusual tener una aparición en 2021 que pueda exponer millones de puntos finales», dijo Ohfeld. «Con un solo paquete, un atacante puede convertirse en root en una máquina remota simplemente eliminando el encabezado de autenticación. Es así de simple».
«OMI es solo un ejemplo de un agente de software ‘secreto’ que está preinstalado y se implementa silenciosamente en entornos de nube. Es importante tener en cuenta que estos agentes existen no solo en Azure, sino en [Amazon Web Services] y [Google Cloud Platform] como bien.»
