Expertos advierten que las fallas de OMIGOD CVE-2021-38647 afectan a IBM QRadar Azure y pueden ser explotadas por atacantes remotos para ejecutar código arbitrario.
OMI es un proyecto de código abierto escrito en C que permite a los usuarios administrar configuraciones en todos los entornos, se utiliza en varios servicios de Azure, incluidos Azure Automation y Azure Insights.
OMIGOD es un conjunto de cuatro vulnerabilidades, reportadas por primera vez por el equipo de investigación de Wiz, en el agente de software Open Management Infrastructure (OMI) que podrían exponer a los usuarios de Azure a ataques. Las actualizaciones de seguridad de septiembre de 2021 publicadas recientemente han abordado las cuatro vulnerabilidades, rastreadas colectivamente como OMIGOD, en el agente de software Open Management Infrastructure (OMI) que expone a los usuarios de Azure a ataques. A continuación se muestra la lista de defectos de OMIGOD:
- CVE-2021-38647: RCE no autenticado como raíz (gravedad: 9,8)
- CVE-2021-38648: vulnerabilidad de escalamiento de privilegios (gravedad: 7.8)
- CVE-2021-38645: vulnerabilidad de escalamiento de privilegios (gravedad: 7.8)
- CVE-2021-38649: vulnerabilidad de escalamiento de privilegios (gravedad: 7.0)
El paquete RPM de Open Management Infrastructure (OMI) en las imágenes del mercado de IBM QRadar Azure se ve afectado por una vulnerabilidad de ejecución remota de código identificada como CVE-2021-38647, la cual recibió una puntuación CVSS de 9.8. En el caso de IBM QRadar Azure, un atacante remoto puede aprovechar la vulnerabilidad para ejecutar código arbitrario en instalaciones vulnerables.
«Las imágenes del mercado de IBM QRadar Azure incluyen el RPM que es vulnerable y se sugiere actualizar por precaución» dice el aviso publicado por IBM. «La infraestructura de administración abierta de Microsoft Azure podría permitir que un atacante remoto ejecute código arbitrario en el sistema. Al ejecutar un programa especialmente diseñado, un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema».
La vulnerabilidad puede desencadenarse ejecutando un programa especialmente diseñado en sistemas vulnerables, afecta a las siguientes versiones:
- IBM QRadar versiones 7.3.0 a 7.3.3 parche 9
- IBM QRadar versiones 7.4.0 a 7.4.3 parche 2
Un atacante remoto no autenticado podría aprovechar la vulnerabilidad enviando un mensaje especialmente diseñado a través de HTTPS al puerto que escucha OMI en un sistema vulnerable.