Oppdatering av patchetirsdag-varsel: Kritiske sårbarheter i Linux-maskiner

Publisert: 15.09.2021

Oppdatert: 16.09.2021

Varselet fra patchetirsdag 14.september inkluderte en sårbarhet i OMI "Open Management Infrastructure".

NCSC deler HelseCERT sitt varsel som adresserer en gruppe kritiske sårbarheter i nevnte OMI, i detalj. Hvis virksomheten har Linux-maskiner i Azure må man iverksette tiltak og patche så fort som mulig. Se detaljer under.

Kort oppsummert:
HelseCERT varsler om kritiske sårbarheter i Linux-maskiner med OMI-agent installert.
OMI - Open management infrastructure er en open source agent [1] som installeres på alle linux VM-er i Azure gitt at de bruker en av tjenestene listet opp under.
Den mest kritiske sårbarheten er en trivielt enkelt å utnytte RCE.
HelseCERT anbefaler at alle som har sårbare Linux-maskiner i Microsoft Azure oppdaterer disse så raskt det lar seg gjøre. Se [2].

Mer detaljert:
Den mest kritiske av sårbarhetene gjør det mulig for en ekstern angriper å kjøre vilkårlig kode på maskinen som root (RCE). Denne har fått en CVSS score på 9.8 (MEGET KRITISK) [2].
For å utnytte sårbarheten trenger en potensiell angriper kun å fjerne autentiseringsheaderen i en HTTPS-forespørsel til maskinen. Denne er med andre ord meget enkel å utnytte.
De tre andre sårbarhetene ([3][4][5]) er "privilege escalation"-sårbarheter som gjør det mulig for en angriper som allerede er inne på systemet å oppnå root-privilegier.

Sårbarhetene ligger i software-agenten "Open Management Infrastructure" (OMI), som automatisk installeres i bakgrunnen når man aktiverer enkelte Azure-tjenester (se liste under) [6].

Alle Linux-maskiner i Azure som bruker ett av følgende tjenester/verktøy er sårbare:
- Azure Automation
- Azure Automatic Update
- Azure Operations Management Suite (OMS)
- Azure Log Analytics
- Azure Configuration Management
- Azure Diagnostics

Tiltak:
- Oppdater til OMI versjon 1.6.8.1 eller nyere.
- Microsoft har publisert informasjon for manuell oppdatering av OMI - se [2].
- Dersom man har OMI som lytter på portene 5985, 5986, 1270 anbefales det å begrense nettverkstilgang til disse umiddelbart.

Referanser:
[1] - https://github.com/microsoft/omi
[2] - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647
[3] - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648
[4] - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645
[5] - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649
[6] - https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution