Cơ sở hạ tầng quản lý mở (OMI) là một mã nguồn mở tương đương với Cơ sở hạ tầng quản lý Windows (Windows Management Infrastructure - WMI) nhưng được thiết kế cho các hệ thống Linux và UNIX. OMI được cài đặt sẵn trong Azure Linux VM để hỗ trợ các tuỳ chọn cấu hình, báo cáo và ghi nhật ký từ giao diện và các API của nhà cung cấp dịch vụ cloud Azure. Do tính dễ sử dụng và trừu tượng mà OMI cung cấp, nó được sử dụng rộng rãi trong Azure, đặc biệt là bên trong Open Management Suite (OMS), Azure Insights, Azure Automation và nhiều sản phẩm khác.
Trong bốn lỗ hổng được công bố thì có một lỗ hổng cho phép thực thi mã từ xa mà không cần xác thực có tên là “OMIGOD” vừa được tìm thấy trên OMI. Lỗ hổng này cho phép hacker truy cập từ xa vào các máy Linux trên Azure thông qua các cổng TCP 1270, 5985 và 5986. Khi hacker có quyền truy cập từ xa, về mặt lý thuyết, họ có thể leo thang đặc quyền, di chuyển ngang qua các môi trường và thực thi mã từ xa với quyền của người dùng root (người dùng có quyền cao nhất trên Linux). Ngoài ra hacker còn có thể định vị và lấy cắp dữ liệu nhạy cảm trong môi trường Azure.
Ba lỗ hổng còn lại được phân loại là lỗ hổng leo thang đặc quyền và chúng có thể cho phép hacker giành được đặc quyền cao nhất trên máy có cài đặt OMI. Các hacker thường sử dụng các lỗ hổng này như một phần của chuỗi tấn công tinh vi, sau khi có được quyền truy cập đặc quyền thấp ban đầu vào mục tiêu của chúng.
Mã CVE và điểm CVSS cho các lỗ hổng:
CVE-2021-38647 (Điểm CVSS: 9,8) - Lỗ hổng thực thi mã từ xa trên OMI
CVE-2021-38648 (Điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38645 (điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38649 (Điểm CVSS: 7,0) - Lỗ hổng leo thang đặc quyền trên OMI
Lỗ hổng thực thi mã từ xa CVE-2021-38647
Phần lớn các tổ chức lớn sử dụng Azure đều bị ảnh hưởng. Các khách hàng bị ảnh hưởng khi sử dụng một trong các dịch vụ Azure sau:
Azure Automation;
Azure Automatic Update;
Azure Operations Management Suite;
Azure Log Analytics;
Azure Configuration Management;
Azure Diagnostics.
Hiện tại Microsoft đang phát hành các bản vá cho bốn lỗ hổng này, nhưng OMI không có cơ chế tự động cập nhật nên người dùng sẽ cần cập nhật bản cài v1.6.8.1 thủ công từ trang chủ trên GitHub. Điều này khiến cho rất nhiều máy chủ vẫn tiếp tục sử dụng OMI bản cũ khi khách hàng không biết rằng OMI được cài mặc định trên máy chủ của họ.
Đây là hướng dẫn cập nhật thủ công cho OMI:
Thêm repo vào máy chủ. Tham khảo link sau để chọn đúng repo cho phiên bản OS đang dùng: https://docs.microsoft.com/en-us/windows-server/administration/Linux-Package-Repository-for-Microsoft-Software
Sử dụng lệnh “sudo apt install omi” hoặc “yum install omi”.
Ngoài ra, các khách hàng của Azure có thể sử dụng tường lửa để chặn truy cập đến các cổng 5985, 5986, 1270 trong khi chờ đợi để cập nhật cho các máy chủ. Vì khả năng dễ khai thác của các lỗ hổng này, hãy thực hiện điều này sớm nhất có thể.
Đăng Thứ
(Nguồn: Microsoft)
17:00 | 04/12/2019
14:00 | 05/10/2017
09:00 | 16/04/2021
10:00 | 04/02/2022
10:10 | 05/01/2015
08:00 | 13/10/2017
13:00 | 20/07/2022
Microsoft vừa phát hành bản vá lỗ hổng bảo mật tháng 7, nhằm khắc phục 1 lỗ hổng zero-day đang bị khai thác trong thực tế và 84 lỗ hổng khác. Trong số đó, 4 lỗ hổng được phân loại là nghiêm trọng vì có thể cho phép tin tặc thực thi mã từ xa.
14:00 | 03/06/2022
Theo Certified Ethical Hacker (CEH) có 2 kỹ thuật tấn công lừa đảo là các kỹ thuật về con người (Human-based) và kỹ thuật máy tính (Computer-based). Nội dung dưới đây tập trung trình bày về kỹ thuật tấn công lừa đảo dựa vào các kỹ thuật về con người.
14:00 | 03/03/2022
Mới đây, Cisco đã phát hành bản cập nhật bảo mật để ngăn chặn ba lỗ hổng ảnh hưởng đến các sản phẩm của hãng, bao gồm một lỗ hổng nghiêm trọng cao trong Email Security Appliance (ESA), có thể bị khai thác bằng cách sử dụng các email độc hại, dẫn đến tấn công từ chối dịch vụ (DoS).
14:00 | 02/03/2022
Trước động thái nhóm hacker nổi tiếng Anonymous khởi động chiến dịch tấn công mạng nhắm vào Nga, nhằm đánh sập một số trang web liên quan đến chính phủ của quốc gia này trong thời gian ngắn, nhóm tin tặc Killnet ngay láp tức phản công đánh sập trang web của Anonymous.
09:00 | 13/06/2022|Mật mã dân sự
17:00 | 10/06/2022|Giải pháp khác
09:00 | 09/06/2022|Chính sách - Chiến lược
09:00 | 09/06/2022|Hacker / Malware
TRM Labs cho biết, trong tháng 5/2022 có hơn 100 báo cáo tấn công được gửi đến Chainabuse - nền tảng bảo vệ cộng đồng khỏi các dự án lừa đảo. Vào tháng 6, các cuộc tấn công, đánh cắp tiền của nhà đầu tư thông qua Discord gia tăng 55%. Ước tính số tiền mà tin tặc đánh cắp được của nhà đầu tư NFT lên tới 22 triệu USD.
13:00 | 08/08/2022
