SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#063-2021] [TLP:CLEAR] Kritiske sårbarheter på Linux-maskiner med software-agenten OMI

16-09-2021

JustisCERT ønsker å varsle om flere kritiske og alvorlige sårbarheter i software-agenten OMI (Open Management Infrastructure) for Linux. Vær spesielt oppmerksom på at OMI installeres automatisk på Linux-maskiner i Azure når man aktiverer enkelte av Azure sine tjenester. Nødvendig oppdatering er publisert [1] og bør installeres snarest. Det er totalt 4 sårbarheter som er svært enkle å utnytte og har fått det passende navnet OMIGOD:

  • CVE-2021-38647 – Unauthenticated RCE as root (CVSS-score 9.8) [2]
  • CVE-2021-38648 – Privilege Escalation vulnerability (CVSS-score 7.8) [3]
  • CVE-2021-38645 – Privilege Escalation vulnerability (CVSS-score 7.8) [4]
  • CVE-2021-38649 – Privilege Escalation vulnerability (CVSS-score 7.0) [5]

 

Sårbarhetene er oppdaget av Wiz Research som har publisert detaljert informasjon om OMIGOD [6] [7].

 


Berørte produkter er blant annet:

  • Linux-maskiner i Azure som benytter Azure Automation
  • Linux-maskiner i Azure som benytter Azure Automatic Update
  • Linux-maskiner i Azure som benytter Azure Operations Management Suite (OMS)
  • Linux-maskiner i Azure som benytter Azure Log Analytics
  • Linux-maskiner i Azure som benytter Azure Configuration Management
  • Linux-maskiner i Azure som benytter Azure Diagnostics
  • Linux-maskiner i Azure som benytter Azure Container Insights
  • System Center for Linux
  • Alle andre Linux-oppsett som benytter software-agenten OMI (sky/on-prem)

 


Anbefalinger:

  • Avinstaller programvare som ikke benyttes 
  • Patch/oppdater berørte produkter til OMI versjon 1.6.8-1 eller nyere snarest
  • Følg eventuelt Microsoft sin veiledning for manuell oppdatering av OMI [2]
  • Begrens tilgangen til produkter som er tilgjengelig fra internett (OMI lytter default på portene 5985, 5986, 1270) til kun de IP som må nå den eller blokker/skru av denne funksjonaliteten helt
  • Prioriter systemer som kan nås fra internett/nett som virksomheten ikke stoler på

 


Kilder:
[1] https://github.com/microsoft/omi 
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649
[6] https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution
[7] https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure