Open Management Infrastructure(OMI)と呼ばれるアプリケーションは、マイクロソフトのWindows Management Infrastructure(WMI)のLinux版でローカル環境からデータを収集し、中央の管理サーバーと同期させるサービスです。
MicrosoftはLinuxベースのAzure仮想マシンすべてにOMIクライアントがインストールされており、ほとんどのユーザは知らないソフトウェアとなっています。
このクライアントはroot権限で実行され、その役割はVMをOpen Management Suite(OMS)、Azure Insights、Azure Automationなどのマイクロソフトの集中管理ツールと統合することです。
Azure環境が簡単に乗っ取られるOMIGOD脆弱性
クラウドセキュリティ企業のWizは、公開したレポートの中でOMIクライアントに4つのセキュリティ上の欠陥があることを発見したと発表しました。この脆弱性により、脅威となる人物がAzure Linux VMを乗っ取ることができる可能性があります。
Microsoft社によると、Azureインスタンスの半数以上を占めるLinuxマシンを使用しているAzureユーザーは、以下のサービス/ツールを使用している場合にリスクがあります。
Azure オートメーション
Azure オートマティック・アップデート
Azure Operations Management Suite (OMS)
Azure ログアナリティクス
Azure 構成管理
Azure Diagnostics(診断
Azure Container Insights
「OMIGOD」としてまとめて追跡された4つの欠陥の詳細は以下の通りです。
- CVE-2021-38647 – 認証されていない root 権限での RCE (重要度: 9.8)
- CVE-2021-38648 – 特権エスカレーションの脆弱性 (深刻度: 7.8)
- CVE-2021-38645 – 特権エスカレーションの脆弱性 (重要度: 7.8)
- CVE-2021-38649 – 特権エスカレーションの脆弱性 (重要度: 7.0)
4つの脆弱性のうち、1つ目の脆弱性は最も深刻な問題でインターネット上から不正なパケットを送信するだけでAzure Linux VMを乗っ取られる可能性があります。
Wiz社のセキュリティ研究者であるNir Ohfeld氏は、「たった1つのパケットに認証ヘッダを削除するだけで、リモートマシンのRootになることができ、非常に単純な脆弱性なのです」と同研究員は述べています。
Wizチームによると、一度ネットワークに侵入した攻撃者は、近くにある他のシステムに対してこの攻撃を繰り返し、ネットワーク全体の乗っ取ることができるとのことです。
5985、5986、1270番ポートでOMIをリッスンしている場合は、RCE脆弱性(CVE-2021-38647)から保護するために、これらのポートへのネットワークアクセスを直ちに制限することが推奨されています。
もしユーザがAzure環境のファイアウォールを無効にしたり、これらのポートへの接続を許可したりすると、ユーザすべてのシステムが攻撃を受けやすくなり、さらにこれらのポートが有効になっていなくても、攻撃者は他の3つのOMIGODバグを通じてOMIクライアントを悪用することができます。
攻撃者のコードがRootアクセスを得るために、Azureユーザーを騙して3つのバグのいずれかを悪用した悪意のあるファイルを開いたり操作したりすることができるのです。
マイクロソフト社は、これら4つの重要なOMIの脆弱性に対するパッチをリリースしていますが、このアプリには自動更新の仕組みが組み込まれておらず、すべてのAzure Linux VMは、各ユーザーが自分でクライアントを手動で更新しない限り、攻撃に対して脆弱なままとなってしまう危険な面が存在します。
パッチの適用を希望されるユーザは、GitHubで公開されたOMIクライアントv1.6.8.1をダウンロードしてインストールする必要があります。
このRCEは本当に簡単に悪用できるという点が、最も興味深い点だと思います。
Comments