Nhiều lỗ hổng nghiêm trọng ảnh hướng đến khách hàng sử dụng Azure

08:00 | 29/09/2021 | LỖ HỔNG ATTT

Các nhà nghiên cứu bảo mật vừa tiết lộ các lỗ hổng nghiêm trọng mới trong phần mềm Giao diện Quản lý Mở (Open Management Interface - OMI) của Microsoft Azure, với một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa không cần xác thực được xếp hạng 9,8 (CVSS 3.0).

Nhiều lỗ hổng nghiêm trọng ảnh hướng đến khách hàng sử dụng Azure

OMI là gì?

Cơ sở hạ tầng quản lý mở (OMI) là một mã nguồn mở tương đương với Cơ sở hạ tầng quản lý Windows (Windows Management Infrastructure - WMI) nhưng được thiết kế cho các hệ thống Linux và UNIX. OMI được cài đặt sẵn trong Azure Linux VM để hỗ trợ các tuỳ chọn cấu hình, báo cáo và ghi nhật ký từ giao diện và các API của nhà cung cấp dịch vụ cloud Azure. Do tính dễ sử dụng và trừu tượng mà OMI cung cấp, nó được sử dụng rộng rãi trong Azure, đặc biệt là bên trong Open Management Suite (OMS), Azure Insights, Azure Automation và nhiều sản phẩm khác.

Thông tin về các lỗ hổng

Trong bốn lỗ hổng được công bố thì có một lỗ hổng cho phép thực thi mã từ xa mà không cần xác thực có tên là “OMIGOD” vừa được tìm thấy trên OMI. Lỗ hổng này cho phép hacker truy cập từ xa vào các máy Linux trên Azure thông qua các cổng TCP 1270, 5985 và 5986. Khi hacker có quyền truy cập từ xa, về mặt lý thuyết, họ có thể leo thang đặc quyền, di chuyển ngang qua các môi trường và thực thi mã từ xa với quyền của người dùng root (người dùng có quyền cao nhất trên Linux). Ngoài ra hacker còn có thể định vị và lấy cắp dữ liệu nhạy cảm trong môi trường Azure.

Ba lỗ hổng còn lại được phân loại là lỗ hổng leo thang đặc quyền và chúng có thể cho phép hacker giành được đặc quyền cao nhất trên máy có cài đặt OMI. Các hacker thường sử dụng các lỗ hổng này như một phần của chuỗi tấn công tinh vi, sau khi có được quyền truy cập đặc quyền thấp ban đầu vào mục tiêu của chúng.

Mã CVE và điểm CVSS cho các lỗ hổng:

CVE-2021-38647 (Điểm CVSS: 9,8) - Lỗ hổng thực thi mã từ xa trên OMI
CVE-2021-38648 (Điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38645 (điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38649 (Điểm CVSS: 7,0) - Lỗ hổng leo thang đặc quyền trên OMI

Lỗ hổng thực thi mã từ xa CVE-2021-38647

Những dịch vụ nào bị ảnh hưởng?

Phần lớn các tổ chức lớn sử dụng Azure đều bị ảnh hưởng. Các khách hàng bị ảnh hưởng khi sử dụng một trong các dịch vụ Azure sau:

Azure Automation;
Azure Automatic Update;
Azure Operations Management Suite;
Azure Log Analytics;
Azure Configuration Management;
Azure Diagnostics.

Hướng dẫn cập nhật OMI

Hiện tại Microsoft đang phát hành các bản vá cho bốn lỗ hổng này, nhưng OMI không có cơ chế tự động cập nhật nên người dùng sẽ cần cập nhật bản cài v1.6.8.1 thủ công từ trang chủ trên GitHub. Điều này khiến cho rất nhiều máy chủ vẫn tiếp tục sử dụng OMI bản cũ khi khách hàng không biết rằng OMI được cài mặc định trên máy chủ của họ.

Đây là hướng dẫn cập nhật thủ công cho OMI:

Thêm repo vào máy chủ. Tham khảo link sau để chọn đúng repo cho phiên bản OS đang dùng: https://docs.microsoft.com/en-us/windows-server/administration/Linux-Package-Repository-for-Microsoft-Software
Sử dụng lệnh “sudo apt install omi” hoặc “yum install omi”.

Ngoài ra, các khách hàng của Azure có thể sử dụng tường lửa để chặn truy cập đến các cổng 5985, 5986, 1270 trong khi chờ đợi để cập nhật cho các máy chủ. Vì khả năng dễ khai thác của các lỗ hổng này, hãy thực hiện điều này sớm nhất có thể.

Đăng Thứ

(Nguồn: Microsoft)

‹ › ×

Tin liên quan

Ra mắt giải pháp công nghệ SD-WAN an toàn cho mạng WAN ảo Azure của Microsoft

17:00 | 04/12/2019

Công ty Dịch vụ chuyển đổi truyền thông Tata (TCTS) và Công ty Bảo mật Fortinet đã làm việc với Microsoft Azure để giới thiệu một giải pháp công nghệ SD-WAN được quản lý an toàn dành cho hệ thống mạng WAN ảo Azure.

Tính năng Confidential Compute của Azure giúp bảo mật dữ liệu – ngay cả với Microsoft

14:00 | 05/10/2017

Mới đây, Tập đoàn Microsoft đã công bố một tính năng bảo mật mới có tên Confidential Compute - cho nền tảng điện toán đám mây Azure.

7 công cụ thực thi các cuộc tấn công các máy chủ Linux

09:00 | 16/04/2021

Hệ điều hành Linux là một nhóm thuộc họ hệ điều hành giống Unix (Unix-like). Đã từ lâu, có nhiều ý kiến cho rằng Linux là hệ điều hành mặc định an toàn và không dễ bị nhiễm mã độc. Linux đã không phải đối mặt với sự tràn lan của virus, sâu và Trojan giống như những hệ thống chạy Windows nhưng hệ thống Linux chịu tấn công từ các backdoor PHP, rootkit và mã khai thác. Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) tại hãng Kaspersky đã nghiên cứu về hoạt động của mối đe dọa dai dẳng nâng cao (APT) dựa trên các thu thập dữ liệu thông minh về các mối đe dọa trong không gian mạng. Dưới đây sẽ giới thiệu 7 công cụ thực thi các cuộc tấn công máy chủ Linux.

Năng lực không gian mạng của Israel (phần 2)

10:00 | 04/02/2022

Nối tiếp phần 1, phần 2 của bài báo tập trung trình bày năng lực không gian mạng của Israel ở khía cạnh khả năng phục phồi, vai trò lãnh đạo toàn cầu và khả năng tấn công mạng của nước này.

Về sự an toàn của hệ điều hành Linux/Unix

10:10 | 05/01/2015

Một dạng tấn công mới xuất hiện và đặc biệt nguy hiểm đối với các hệ điều hành Linux/Unix, đó là tấn công với tên gọi Shellshock dựa trên một lỗ hổng an toàn của hệ vỏ Bash trong Linux/Unix. Sau khi xem xét lịch sử mã nguồn, người ta đã phát hiện rằng lỗ hổng an toàn này đã tồn tại từ nhiều năm trước đây. Tuy nhiên, tấn công khai thác lỗ hổng này mới chỉ được công bố rộng rãi trên thế giới từ tháng 9/2014. Ngoài ra, còn có một số lỗ hổng an toàn khác trong Linux kernel.

Hệ thống con Linux của Windows 10 cho phép mã độc trở nên “tàng hình”

08:00 | 13/10/2017

Các nhà nghiên cứu của Check Point Software Technologies đã phát hiện ra tính năng WSL có thể cho phép các mã độc (được viết cho Linux) tấn công Windows mà các phần mềm an ninh hiện tại không biết được.

Tin cùng chuyên mục

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

Tin tặc tấn công nhiều cảng của Australia

14:00 | 29/11/2023

Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.