OMIGOD : Les clients Azure n’échappent pas aux failles

Sécurité : Si les ports 5986, 5985 ou 1270 de votre machine Linux dans Azure est exposé sur internet, vous devez le mettre à jour dès que possible.

Les utilisateurs d’Azure qui utilisent des machines virtuelles Linux ne savent peut-être pas qu’ils ont un logiciel de gestion extrêmement vulnérable installée sur leur machine par Microsoft, et qui peut être exploité à distance par un attaquant de manière très simple.

Comme l’explique Wiz.io, qui a découvert quatre vulnérabilités dans le projet Open Management Infrastructure (OMI) de Microsoft, un attaquant pourrait obtenir un accès root sur une machine distante en envoyant un seul paquet sans en-tête d’authentification.

« Il s’agit d’une vulnérabilité RCE classique que l’on aurait pu s’attendre à voir dans les années 90. Il est très inhabituel d’en voir apparaître une en 2021 qui puisse affecter des millions de terminaux », écrit Nir Ohfeld, chercheur en sécurité chez Wiz. « Grâce à la combinaison d’une simple erreur de codage d’une instruction conditionnelle et d’une structure auth non initialisée, toute requête sans en-tête Authorization a ses privilèges par défaut à uid=0, gid=0, c’est-à-dire root. »

Si OMI expose de manière externe les ports 5986, 5985, ou 1270, alors le système est vulnérable. « Il s’agit de la configuration par défaut lors d’une installation autonome et dans Azure Configuration Management ou System Center Operations Manager. Heureusement, d’autres services Azure (tels que Log Analytics) n’exposent pas ce port, de sorte que la portée est limitée à l’élévation des privilèges locaux dans ces situations », ajoute-t-il.

Un problème qui passe sous le radar

Le problème pour les utilisateurs, comme le décrit Nir Ohfeld, est que OMI est installé automatiquement lorsque les utilisateurs activent la collecte de logs, qu’il n’y a pas de documentation publique et qu’il s’exécute avec les privilèges root, le tout sans que l’utilisateur en soit informé. Wiz a constaté que plus de 65 % des clients Azure sous Linux examinés étaient vulnérables.

Dans son avis sur les quatre CVE publié hier – CVE-2021-38647CVE-2021-38648CVE-2021-38645 et CVE-2021-38649 – Microsoft indique que le correctif pour les vulnérabilités a été poussé vers son code OMI le 11 août, pour donner à ses partenaires le temps de mettre à jour avant de divulguer les détails des failles de sécurité.

Les utilisateurs doivent s’assurer qu’ils exécutent la version 1.6.8.1 d’OMI. Microsoft a ajouté des instructions dans ses avis pour permettre aux utilisateurs de télécharger les mises à jour d’OMI depuis ses dépôts si les machines ne sont pas encore mises à jour.

« Les déploiements de System Center avec OMI courent un plus grand risque, car les agents Linux ont été dépréciés. Les clients qui utilisent encore System Center avec des Linux basés sur OMI peuvent avoir besoin de mettre à jour manuellement l’agent OMI », avertit Wiz.

Les vulnérabilités faisaient partie du dernier Patch Tuesday de Microsoft.

Comme beaucoup de vulnérabilités de nos jours, un nom accrocheur est de rigueur. Wiz a donc choisi de les baptiser OMIGOD.

Source : ZDNet.com

Catégories