「OMIGOD」と名付けられた最近公開されたセキュリティ上の欠陥を利用して、Azure Linuxベースのサーバーを攻撃し、脆弱なシステムをDDoSボットネットやクリプトマイニングボットネットに乗っ取ろうとする脅威が発生しています。
1つのパケットでAzure Linux VMが乗っ取れるOMIGOD脆弱性:自動パッチはなく手動パッチのみ。特定ポートをブロックすることを推奨
2021年9月16日に開始されたと思われるkの攻撃は、コードホスティングサイト「GitHub」で公開された概念実証済みの脆弱性を利用したものです。
脅威インテリジェンス企業であるGreyNoise社の創業者兼CEOのAndrew Morris氏によると、攻撃はゆっくりと始っており、最初は10台の悪意のあるサーバーがインターネット上で脆弱なサーバーをスキャンしていましたが、翌朝にはその数は100台以上に増えていました。
OMIGODに脆弱なAzureのLinuxシステムを狙った攻撃
攻撃者は、マイクロソフトのクラウドインフラストラクチャであるAzure上で稼働するLinuxサーバを探しており、これらのシステムには「OMIGOD」と呼ばれるセキュリティ上の脆弱性があります。
クラウドセキュリティ企業のWiz社が夏に発見したこの脆弱性は、Open Management Infrastructure(OMI)と呼ばれるアプリに存在し、Microsoft社はほとんどのAzure Linux仮想マシンにデフォルトでインストールされています。
このアプリは、マイクロソフトのWindows Management Infrastructure(WMI)のLinux版として動作し、ローカル環境からデータを収集して中央管理サーバーと同期させるサービスですが、CVE-2021-38647として追跡されている問題に脆弱性があります。
この脆弱性により攻撃者は、OMIクライアントに不正なパケットを送信することで、Azure Linuxサーバーを乗っ取ることができます。
この問題を発見したWiz社のセキュリティ研究者Nir Ohfeld氏によると
2021年に何百万ものエンドポイントを公開できるようなものが出てくるのは非常に珍しいことですが、たった1つのパケットで攻撃者は認証ヘッダを削除するだけでリモートマシンのルートになることができます。
マイクロソフトは、OMIクライアントのバージョン1.6.8.1をGitHubで公開することで、この脆弱性に対応しました。
しかし、マイクロソフトは自社のインフラストラクチャに配備されているOMIクライアントにこのアップデートを自動的にインストールできないため、何万台ものAzure Linuxサーバーが攻撃を受ける可能性がありました。
さらに、同社はAzure Linux VMイメージ内のOMIクライアントのバージョンを置き換えるのにさらに3日を要しました。
これらのサーバの多くは、企業ネットワーク内やファイアウォールの内側に設置されていますが、オンラインで接続されているサーバもまだたくさんあります。Shodan社の調査では、15,600台以上のAzure Linuxがインターネットに接続されているサーバーが存在しているようです。
セキュリティ研究者の報告によると、攻撃者はOMIGODエクスプロイトを使用した後、すぐにマルウェアを展開してハッキングされたサーバーをクリプトマイニングやDDoSボットネットに取り込んでしまうとのことです。
しかもこれらの攻撃は表面的なものに過ぎず、OMIクライアントがインストールされている他の多くの社内サーバにも脅威が及ぶ可能性があるとコメントしています。
「OMIクライアントがインストールされていれば、他の多くの社内サーバにも簡単に手を出すことができます。マシンの攻略に成功した後は、OMIGODや他の技術を使って横方向に移動し、ターゲットの価値を評価することができます」と述べています。
OMIとは?
Open Management Infrastructure(OMI)は、DMTF CIM/WBEM規格の製品品質の実装の開発を促進するためのオープンソースプロジェクトです。OMI CIMOMは、ポータブルで高度なモジュール性を持つように設計されています。フットプリントを小さくするためにC言語でコーディングされており、管理プロセッサのメモリに制約のある組み込みシステムやその他のインフラコンポーネントにとって、より現実的なCIMオブジェクト・マネージャーとなっています。また、OMIは本質的にポータブルであるように設計されています。OMIは、ほとんどのUNIXシステムやLinux上でビルドして動作します。また、OMIは小さなフットプリントに加え、非常に高いパフォーマンスを発揮します。
この脆弱性から身を守るにはどうすればいいですか?
詳細については、「Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions」を参照してください。
この脆弱性に対するアップデートは、2021年8月11日にGitHubで公開されました。
なぜマイクロソフトは今になってCVEを公開したのですか?
オープンソースコードのこの脆弱性に対処する修正プログラムを8月11日に公開したのは、このソフトウェアに依存しているパートナーに、脆弱性の詳細を公開する前に更新プログラムを実装する時間を提供するためです。
この脆弱性はどのようにして影響を受けますか?
Configuration Managementなどの一部のAzure製品は、OMIをリッスンするHTTP/Sポートを公開しています(通常は5986ポート)。このHTTP/Sリスナーを有効にする設定により、リモートコードの実行が可能になる可能性があります。なお、OMIを使用するほとんどのAzureサービスは、HTTP/Sポートを公開せずに展開していることが重要です。
攻撃者はどのようにしてこの脆弱性を利用するのでしょうか?
攻撃者は、脆弱なシステム上のOMIをリスニングしているポートに、HTTPS経由で特別に細工したメッセージを送信することができます。
自分のAzure Linuxノードで、このリスニングポートを確認するにはどうすればいいですか?
異なるサービスでは、ポート番号が異なる可能性があります。ほとんどのLinuxディストリビューションでは、「netstat -an | grep 」というコマンドでリッスンしているプロセスがあるかどうかを確認することができます。
Comments