Wizのセキュリティ研究者は、Azure上のLinux仮想マシンの主要な脆弱性を発見しました。
お客様がクラウドにLinux仮想マシンをセットアップすると、特定のAzureサービスを有効にすると、OMIエージェントが知らないうちに自動的にデプロイされます。 パッチが適用されない限り、攻撃者はこれら4つの脆弱性を簡単に悪用して、root権限にエスカレートし、悪意のあるコードをリモートで実行できます(たとえば、身代金目的でファイルを暗号化する)。
マイクロソフトは、次のCVEを発行ししました。
- CVE-2021-38647 rootとして認証されていないRCE(重大度:9.8)
- CVE-2021-38648 特権昇格の脆弱性(重大度:7.8)
- CVE-2021-38645 特権昇格の脆弱性(重大度:7.8)
- CVE-2021-38649 特権昇格の脆弱性(重大度:7.0)
Azureユーザーの皆様このブログのを読んで、OMIが最新バージョン(v1.6.8-1)を確認してください。
RHEL8でのアップグレード
- バージョン確認します。
# /opt/omi/bin/omiserver --version
/opt/omi/bin/omiserver: OMI-1.6.8-0 - Wed Jan 13 18:36:50 PST 2021
- OMI-1.6.8-1以下であれば、アップグレードしてください。
# wget https://github.com/microsoft/omi/releases/download/v1.6.8-1/omi-1.6.8-1.ssl_110.ulinux.x64.rpm
# rpm -Uhv omi-1.6.8-1.ssl_110.ulinux.x64.rpm
# /opt/omi/bin/omiserver --version
/opt/omi/bin/omiserver: OMI-1.6.8-1 - Wed Aug 11 20:52:52 PDT 2021
- omidサービスを再起動します。
# systemctl stop omid.service
# systemctl daemon-reload
# systemctl start omid.service
CVE-2021-38647について
CVE-2021-38647はリモートコード実行の脆弱性です。
Azure Configuration ManagementはOMIポート5986を使用します。
System Center Operation Manager はOMIポート1270を使用します。
OMIがどのポートでリッスンしているかを調べるには以下のコマンドを使ってください。
# grep httpsport= /etc/opt/omi/conf/omiserver.conf
httpsport=0
上記みたいにhttpsport=0場合はセーフです。それ以外にはリモートコード実行のリスクがあります。
以上です。