Cơ sở hạ tầng quản lý mở (OMI) là một mã nguồn mở tương đương với Cơ sở hạ tầng quản lý Windows (Windows Management Infrastructure - WMI) nhưng được thiết kế cho các hệ thống Linux và UNIX. OMI được cài đặt sẵn trong Azure Linux VM để hỗ trợ các tuỳ chọn cấu hình, báo cáo và ghi nhật ký từ giao diện và các API của nhà cung cấp dịch vụ cloud Azure. Do tính dễ sử dụng và trừu tượng mà OMI cung cấp, nó được sử dụng rộng rãi trong Azure, đặc biệt là bên trong Open Management Suite (OMS), Azure Insights, Azure Automation và nhiều sản phẩm khác.
Trong bốn lỗ hổng được công bố thì có một lỗ hổng cho phép thực thi mã từ xa mà không cần xác thực có tên là “OMIGOD” vừa được tìm thấy trên OMI. Lỗ hổng này cho phép hacker truy cập từ xa vào các máy Linux trên Azure thông qua các cổng TCP 1270, 5985 và 5986. Khi hacker có quyền truy cập từ xa, về mặt lý thuyết, họ có thể leo thang đặc quyền, di chuyển ngang qua các môi trường và thực thi mã từ xa với quyền của người dùng root (người dùng có quyền cao nhất trên Linux). Ngoài ra hacker còn có thể định vị và lấy cắp dữ liệu nhạy cảm trong môi trường Azure.
Ba lỗ hổng còn lại được phân loại là lỗ hổng leo thang đặc quyền và chúng có thể cho phép hacker giành được đặc quyền cao nhất trên máy có cài đặt OMI. Các hacker thường sử dụng các lỗ hổng này như một phần của chuỗi tấn công tinh vi, sau khi có được quyền truy cập đặc quyền thấp ban đầu vào mục tiêu của chúng.
Mã CVE và điểm CVSS cho các lỗ hổng:
CVE-2021-38647 (Điểm CVSS: 9,8) - Lỗ hổng thực thi mã từ xa trên OMI
CVE-2021-38648 (Điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38645 (điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38649 (Điểm CVSS: 7,0) - Lỗ hổng leo thang đặc quyền trên OMI
Lỗ hổng thực thi mã từ xa CVE-2021-38647
Phần lớn các tổ chức lớn sử dụng Azure đều bị ảnh hưởng. Các khách hàng bị ảnh hưởng khi sử dụng một trong các dịch vụ Azure sau:
Azure Automation;
Azure Automatic Update;
Azure Operations Management Suite;
Azure Log Analytics;
Azure Configuration Management;
Azure Diagnostics.
Hiện tại Microsoft đang phát hành các bản vá cho bốn lỗ hổng này, nhưng OMI không có cơ chế tự động cập nhật nên người dùng sẽ cần cập nhật bản cài v1.6.8.1 thủ công từ trang chủ trên GitHub. Điều này khiến cho rất nhiều máy chủ vẫn tiếp tục sử dụng OMI bản cũ khi khách hàng không biết rằng OMI được cài mặc định trên máy chủ của họ.
Đây là hướng dẫn cập nhật thủ công cho OMI:
Thêm repo vào máy chủ. Tham khảo link sau để chọn đúng repo cho phiên bản OS đang dùng: https://docs.microsoft.com/en-us/windows-server/administration/Linux-Package-Repository-for-Microsoft-Software
Sử dụng lệnh “sudo apt install omi” hoặc “yum install omi”.
Ngoài ra, các khách hàng của Azure có thể sử dụng tường lửa để chặn truy cập đến các cổng 5985, 5986, 1270 trong khi chờ đợi để cập nhật cho các máy chủ. Vì khả năng dễ khai thác của các lỗ hổng này, hãy thực hiện điều này sớm nhất có thể.
Đăng Thứ
(Nguồn: Microsoft)
17:00 | 04/12/2019
14:00 | 05/10/2017
09:00 | 16/04/2021
10:00 | 04/02/2022
10:10 | 05/01/2015
08:00 | 13/10/2017
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
14:00 | 29/11/2023
Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024