Surgiram notícias de uma prática bastante perigosa no Microsoft Azure, em que, quando um usuário cria uma máquina virtual Linux e habilita certos serviços do Azure, a plataforma instala automaticamente o agente Open Management Infrastructure (OMI). Mas o usuário não saberá disso.
Embora uma instalação furtiva possa parecer terrível à primeira vista, esta realmente não seria tão ruim se não fosse por dois problemas: primeiro, o agente tem vulnerabilidades conhecidas e, segundo, não tem mecanismo de atualização automática no Azure. Até que a Microsoft resolva esse problema, as organizações que usam máquinas virtuais Linux no Azure precisarão agir.
Vulnerabilidades no Open Management Infrastructure e como os invasores podem explorá-las
Na Patch Tuesday de setembro, a Microsoft lançou atualizações de segurança para quatro vulnerabilidades no agente Open Management Infrastructure. Uma deles, CVE-2021-38647, permite execução remota de código (remote code execution, RCE em inglês) e é crítico, e os outros três, CVE-2021-38648, CVE-2021-38645, e CVE-2021-38649 podem ser usados para privilégios por escalonamento (privilege escalation, LPE em inglês) em ataques de vários estágios quando os invasores penetram na rede da vítima com antecedência. Essas três vulnerabilidades têm pontuação alta no CVSS.
Quando usuários do Microsoft Azure criam uma máquina virtual Linux e habilitam uma série de serviços, o OMI – com vulnerabilidades e tudo mais – é implantado no sistema automaticamente. Os serviços incluem Automação, Atualização Automática , Pacote de Gerenciamento de Operações, Azure Log Analytics, Gerenciamento de Configuração e Diagnóstico, uma lista que provavelmente está longe de estar completa. O agente Open Management Infrastructure por si só tem os privilégios mais altos no sistema e, como suas tarefas incluem a coleta de estatísticas e configurações de sincronização, geralmente é acessível pela Internet por meio de várias portas HTTP, dependendo dos serviços habilitados.
Por exemplo, se a porta de escuta for 5986, os invasores podem explorar a vulnerabilidade CVE-2021-38647 e executar códigos maliciosos remotamente. Se o OMI estiver disponível para gerenciamento remoto (por meio da porta 5986, 5985 ou 1270), os golpistas podem explorar a mesma vulnerabilidade para obter acesso a toda a vizinhança da rede no Azure. Especialistas dizem que a brecha é muito fácil de explorar.
This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com/iIHNyqgew4
— Ami Luttwak (@amiluttwak) September 14, 2021
Até agora, nenhum ataque foi relatado, mas com muitas informações disponíveis sobre como seria fácil explorar essas vulnerabilidades, provavelmente não demorará muito.
Como se proteger
A Microsoft lançou patches para todas as quatro vulnerabilidades. No entanto, o OMI nem sempre é atualizado automaticamente, então você precisará verificar qual versão está disponível em sua máquina virtual Linux. Se for anterior a 1.6.8.1, atualize o agente Open Management Infrastructure. Para saber como, consulte a descrição da vulnerabilidade CVE-2021-38647.
Os especialistas também recomendam restringir o acesso às portas 5985, 5986 e 1270 através da rede para evitar que qualquer pessoa execute o RCE.