Ceux qui utilisent l’environnement en nuage Azure pour exécuter des machines virtuelles Linux doivent veiller à l’installation de plusieurs mises à jour de sécurité. Sinon, dans certaines conditions, les attaquants pourraient combiner quatre lacunes pour exécuter un code malveillant avec des droits root. Le moyen d’y parvenir est en partie d’une simplicité effrayante.
Comme indiqué au début, seuls les clients qui mettent en œuvre des VM Linux via Azure sont concernés – et ils sont nombreux. Selon les découvreurs des vulnérabilités de Wiz, plus de la moitié des instances sont utilisées pour Linux, selon une déclaration de Microsoft. L’utilisation de l’un des services/outils suivants constitue une exigence supplémentaire pour les systèmes vulnérables :
- Automatisation d’Azure
- Mise à jour automatique d’Azure
- Suite de gestion des opérations Azure (OMS)
- Azure Log Analytics
- Gestion de la configuration d’Azure
- Diagnostics Azure
Sommaire
Le problème
Le cœur du problème de sécurité est l’agent logiciel Open Management Infrastructure (OMI) utilisé dans de nombreux services Azure. Dans ce contexte, il constitue l’infrastructure de gestion Windows (WMI) pour les systèmes UNIX/Linux. Il peut être utilisé pour collecter des données sur les configurations et les statistiques, entre autres.
Si quelqu’un configure une VM Linux via Azure et active l’un des services mentionnés, l’agent OMI devient automatiquement actif avec les droits les plus élevés possibles, expliquent les chercheurs. L’utilisateur n’en est pas du tout conscient. Si, par exemple, l’API HTTP est accessible de l’extérieur, des attaquants distants pourraient exploiter les quatre vulnérabilités (CVE-2021-38645 « haut« , CVE-2021-38647 « critique« , CVE-2021-38648 « haut« , CVE-2021-38649 « haut« ) exploit.
Une attaque simple à l’effet dévastateur
Si un port HTTPS est accessible de l’extérieur, les attaquants pourraient exécuter à distance un code malveillant avec les privilèges de l’utilisateur root avec une simple requête dans laquelle ils ont supprimé l’en-tête d’authentification, préviennent les chercheurs en sécurité dans leur rapport. Le port HTTPS doit être actif par défaut dans les installations autonomes et dans Azure Configuration Management ou System Center Operations Manager (SCOM).
Logiciel sécurisé
Les chercheurs ont baptisé ce quatuor de vulnérabilités OMIGOD. Ils préviennent que d’autres utilisateurs que les clients d’Azure sont également menacés par ces lacunes. Après tout, le projet open source OMI est également utilisé dans d’autres logiciels. Cela montre une fois de plus les conséquences considérables que peuvent avoir de telles attaques sur la chaîne d’approvisionnement en raison de l’utilisation généralisée de logiciels libres vulnérables.
Microsoft a publié des mises à jour de sécurité appropriées lors du Patchday. Le site OMI version 1.6.8.1 est censé être équipé contre de telles attaques.
(des)