Microsoft Azure: vulnerabilidad de RCE «OMIGOD» en la herramienta de administración

Actualmente, los clientes de Azure están preocupados por una vulnerabilidad crítica que permite que cualquier código se ejecute de forma remota. El problema: los afectados normalmente ni siquiera saben que el programa vulnerable está instalado. Eso plantea algunas preguntas incómodas.

Un equipo de investigación de Wiznotó que el llamado agente OMI se instala automáticamente cuando un cliente de Azure inicia una máquina virtual Linux en su entorno. OMI significa el paquete de código abierto «Open Management Infrastructure», que recopila los datos de rendimiento de las máquinas virtuales de manera centralizada y los muestra gráficamente para los administradores. OMI se ejecuta en segundo plano en esta máquina, con derechos de root, el nivel de autorización más alto posible en el mundo de Linux. Y aquí es exactamente donde radica el punto débil. Sin embargo, los usuarios de Azure no conocen la instalación de esta herramienta de administración vulnerable. Según Wiz, el 65 por ciento de todos los inquilinos de Azure que examinaron al azar se ven afectados por la vulnerabilidad. Sin embargo, Microsoft no facilita a los usuarios encontrar la solución en su sitio web.

Fatal back cuatro

La instalación de una herramienta de gestión sin el conocimiento de los administradores se ha convertido ahora en un problema importante en varios aspectos: aquí entran en juego un total de cuatro agujeros de seguridad, que permiten a un ciberdelincuente transferir de forma remota el código del programa a un sistema afectado y ejecutarlo allí. . Con la ayuda de otras tres vulnerabilidades en OMI, el atacante se convierte en el usuario «root» y, por lo tanto, se ha apoderado del sistema. Los tres agujeros de seguridad que abren el camino a la «raíz» son lo suficientemente problemáticos por sí mismos. Sin embargo, la ejecución remota de código (RCE), que permite la toma de control externa, es tan trivial que algunos expertos se han preguntado cómo es posible algo así en 2021.. En la escala de criticidad de NVD, la brecha de RCE tiene un valor de 9,8; el valor más alto posible es 10.

Pregunta crucial

El problema fundamental: ¿Cómo se supone que un administrador debe cerrar un agujero de seguridad en un programa que ni siquiera saben que está instalado? Todo experto en seguridad que se precie predica una y otra vez que un inventario de software completo es un componente importante para un concepto de seguridad sólido. Pero debido a que la herramienta OMI se instala sin el conocimiento de la persona responsable, la herramienta se ha convertido repentinamente en parte de la temida Shadow IT. Así que a un programa del que nadie conoce la existencia. Especialmente una herramienta que cumple una función tan importante definitivamente no debería formar parte de esta categoría.

Un ataque exitoso con la ayuda de la «cadena de cuatro» antes mencionada saldría literalmente de la nada para los afectados.

¿»Abierto» es igual a «Seguro»?

El nombre de la herramienta de administración lo sugiere: es una herramienta de código abierto mantenida por Microsoft y Open Group. El uso es gratuito y el código fuente está disponible gratuitamente.

Las herramientas de código abierto definitivamente tienen sus ventajas, de eso no hay duda. En G DATA también estamos promoviendo activamente el tema y hemos publicado algunas herramientas en Github . Pero muchas personas caen en la idea errónea de que el software de código abierto es automáticamente más seguro porque el código fuente es público. Las brechas de seguridad, según el argumento, se notarían mucho más rápidamente y podrían remediarse. Sin embargo, esta suposición solo funciona bajo la premisa de que el código fuente también es examinado continuamente por un gran número de desarrolladores. Sin embargo, este no es siempre el caso. Esto se muestra en informes sobre brechas de seguridad a veces muy críticas, como » Baron Samedit“Eso durmió en sudo durante casi una década sin ser notado. Sin embargo, la discusión sobre este tema es a veces muy emocional y dogmática, por lo que esto debería ser suficiente como explicación.

Riesgos y efectos secundarios

Dado que las plataformas en la nube se han convertido en una parte indispensable de las cadenas de suministro, las brechas de seguridad son particularmente críticas. Cualquiera que pueda atacar una cadena de suministro o de suministro puede causar un gran daño económico y, en el peor de los casos, incluso poner en peligro vidas humanas. Precisamente por eso es importante garantizar la transparencia aquí. Si esto falta, tampoco hay posibilidad de intervención.
Esto ya ha demostrado ser potencialmente extremadamente peligroso en el pasado. En este contexto, vale la pena recordar las fallas de seguridad en la administración de la red de Kaseya. Esto a menudo se vende como una solución de «etiqueta blanca», lo que significa que el fabricante real no está necesariamente en ella. Y cuando los usuarios finales se enteran de una vulnerabilidad de seguridad en un producto de Kaseya, no necesariamente concluyen que están usando el programa ellos mismos y, por lo tanto, pertenecen al grupo potencialmente afectado.

Remedio

Microsoft ha publicado información sobre la vulnerabilidad de RCE en un sitio web y ha descrito los pasos que se pueden tomar para remediar la vulnerabilidad. Sin embargo, la tabla no es particularmente clara y hay que mirar con mucho cuidado. Si ejecuta una máquina virtual Linux en Azure, debería estar activo aquí lo antes posible. Según un informe de Heise , aunque no muchas máquinas se ven afectadas en general, la utilización es solo una cuestión de tiempo.

Enlace: https://www.gdata.de/blog/2021/09/omigod-sicherheitsluecke-azure Blog de G DATA Tim Berghoff