OMIGOD——微軟解決了開放管理基礎(chǔ)設(shè)施（OMI）軟件代理中的四個(gè)漏洞，這些漏洞可能會(huì)使Azure用戶面臨攻擊。

　　最近發(fā)布的2021年9月補(bǔ)丁星期二安全更新解決了開放管理基礎(chǔ)設(shè)施（OMI）軟件代理中的四個(gè)嚴(yán)重漏洞，這些漏洞統(tǒng)稱為OMIGOD，使Azure用戶面臨攻擊。

　　Wiz的研究團(tuán)隊(duì)報(bào)告了這些漏洞，攻擊者可能會(huì)利用OMIGOD漏洞遠(yuǎn)程執(zhí)行代碼，或提高在Azure上運(yùn)行的脆弱Linux虛擬機(jī)的特權(quán)。

　　研究人員估計(jì)，數(shù)千名Azure客戶和數(shù)百萬(wàn)端點(diǎn)可能面臨攻擊風(fēng)險(xiǎn)。

　　“當(dāng)客戶在云端設(shè)置Linux虛擬機(jī)時(shí)，當(dāng)他們啟用某些Azure服務(wù)時(shí)，OMI代理會(huì)在他們不知情的情況下自動(dòng)部署。專家發(fā)布的分析寫道，除非應(yīng)用補(bǔ)丁，否則攻擊者可以輕松利用這四個(gè)漏洞升級(jí)到根特權(quán)并遠(yuǎn)程執(zhí)行惡意代碼（例如，加密文件以獲取贖金）?！睂＜野l(fā)布的分析。“我們把這四重奏零日命名為‘OMIGOD’，因?yàn)檫@是我們發(fā)現(xiàn)它們時(shí)的反應(yīng)。我們保守地估計(jì)，數(shù)千名Azure客戶和數(shù)百萬(wàn)端點(diǎn)受到影響。在我們分析的一小部分Azure租戶樣本中，超過65%的人在不知不覺中面臨風(fēng)險(xiǎn)。”

　　OMI是一個(gè)用C編寫的開源項(xiàng)目，允許用戶管理跨環(huán)境的配置，它用于各種Azure服務(wù)，包括Azure自動(dòng)化、Azure Insights。

　　最嚴(yán)重的缺陷是跟蹤為CVE-2021-38647的遠(yuǎn)程代碼執(zhí)行缺陷，它獲得了9.8分的CVSS分?jǐn)?shù)。

　　遠(yuǎn)程、未經(jīng)身份驗(yàn)證的攻擊者可以通過HTTPS向在脆弱系統(tǒng)上收聽OMI的端口發(fā)送特別制作的消息來(lái)利用該漏洞。

　　“使用單個(gè)數(shù)據(jù)包，攻擊者只需刪除身份驗(yàn)證頭，就可以成為遠(yuǎn)程計(jì)算機(jī)上的根。就這么簡(jiǎn)單?！狈治隼^續(xù)說?！坝捎诤?jiǎn)單的條件語(yǔ)句編碼錯(cuò)誤和未初始化的授權(quán)結(jié)構(gòu)相結(jié)合，任何沒有授權(quán)標(biāo)頭的請(qǐng)求的特權(quán)默認(rèn)為uid=0，gid=0，這是根。當(dāng)OMI外部暴露HTTPS管理端口（5986/5985/1270）時(shí)，此漏洞允許遠(yuǎn)程接管?！?/p>

　　微軟發(fā)布了補(bǔ)丁的OMI版本（1.6.8.1），為了降低利用CVE-2021-38647 RCE的攻擊風(fēng)險(xiǎn)，IT巨頭建議限制在端口5985、5986、1270上收聽OMI的網(wǎng)絡(luò)訪問。