MicrosoftAzure默认Linux配置暴露严重远程代码执行漏洞Wiz安全研究团队近日报告称,他们在许多流行的Azure服务中的开放管理基础设施(OMI)软件代理中发现了一系列严重漏洞。问题在于,当Azure客户在云端设置Linux虚拟机服务时,OMI代理会在他们不知情的情况下自动部署。(来自:WizResearch)但是,除非及时修补,否则攻击者可能会利用四个漏洞来获得更高的root权限并远程执行任意恶意代码(例如加密文件以获取赎金)。更糟糕的是,黑客只需发送一个去掉了身份验证标头的数据包,就可以渗透并获得远程计算机的根访问权限。如果OMI开放了5986、5985或1270端口,则系统更容易受到攻击。据悉,由于一个简单的条件语句编程错误,结合未初始化的auth结构,任何缺少Authorization标头的请求都默认具有uid=0、gid=0的根级权限。Wiz将该漏洞称为“OMIGOD”,并推测Azure上多达65%的Linux部署受到影响。值得庆幸的是,微软已经发布了1.6.8.1版本的OMI软件代理补丁,建议客户手动进行更新。最后,Wiz建议用户自行选择是否允许OMI监听5985、5986、1270这三个端口。如果没有必要,也立即限制对这些端口的访问以阻止CVE-2021-38647远程代码执行(RCE)漏洞。
