微軟Azure默認Linux配置曝出嚴重的遠程代碼執行漏

Wiz 安全研究團隊近日指出，他們在諸多流行的 Azure 服務(wù)中，發(fā)現了開(kāi)放管理基礎設施(OMI)軟件代理中存在的一系列嚴重漏洞。

盡管表示深?lèi)?ài) ，但這點(diǎn)并沒(méi)有在 云端得到很好的貫徹。Wiz 安全研究團隊近日指出，他們在諸多流行的 Azure 服務(wù)中，發(fā)現了開(kāi)放管理基礎設施(OMI)軟件代理中存在的一系列嚴重。問(wèn)題在于當 Azure 客戶(hù)在云端設置 Linux 虛擬機服務(wù)時(shí)，OMI 代理會(huì )在他們不知情的情況下自動(dòng)部署。

(來(lái)自：Wiz Research)

但除非及時(shí)打上了補丁，否者攻擊者就能夠利用四個(gè)漏洞來(lái)獲得提升后的 root 權限，從而遠程執行任意惡意代碼(比如加密文件以勒索贖金)。

更糟糕的是，黑客只需發(fā)送一個(gè)剔除了身份驗證標頭的數據包，即可滲透并取得遠程機器上的 root 訪(fǎng)問(wèn)權限。若 OMI 開(kāi)放了 5986、5985 或 1270 端口，系統就更容易受到攻擊。

據悉，由于一個(gè)簡(jiǎn)單的條件語(yǔ)句編程錯誤、結合未初始化的 auth 結構，任何缺乏 Authorization 標頭的請求，都被默認賦予了 uid=0、gid=0 的 root 級別權限。

Wiz 將該漏洞稱(chēng)作“OMIGOD”，并推測 Azure 上多達 65% 的 Linux 部署都受到影響。慶幸的是，微軟已經(jīng)發(fā)布了 1.6.8.1 修補版本的 OMI 軟件代理，同時(shí)建議客戶(hù)手動(dòng)執行更新。

最后，Wiz 建議用戶(hù)酌情選擇是否允許 OMI 監聽(tīng) 5985、5986、1270 這三個(gè)端口。如非必要，還請立即限制對這些端口的訪(fǎng)問(wèn)，以封堵 CVE-2021-38647 遠程代碼執行(RCE)漏洞。