Microsoft Azure-Schwachstelle OMIGOD in Linux VMs patchen

[English]Wer unter Microsoft Azure für Linux-VMs verantwortlich ist, muss dringend reagieren. Dort wurden stillschweigen einen Verwaltungsagenten installiert, der RCE- und LPE-Schwachstellen aufweisen. Die OMIGOD genannte Sicherheitslücke muss manuell gepatcht werden, da kein Azure-update-Mechanismus existiert.


Anzeige

Ich bin über den nachfolgenden Tweet von Kevin Beaumont auf den Sachverhalt, der von seinen Entdeckern hier thematisiert wird, aufmerksam geworden.

OMIGOD Azure vulnerability

Ergänzung: In diesem Tweet kristallisiert sich heraus, dass Kevin Beaumont sowie andere Sicherheitsforscher bereits 2018, also vor drei Jahren auf das Problem der zu weitreichenden Berechtigungen beim OMI-Agenten hingewiesen haben. Blieb von Microsoft unbeantwortet – Cloud-Sicherheit halt eben.

Vier Schwachstellen in OMI-Agent

Sicherheitsforscher von Wiz sind kürzlich auf ein Risiko bei Open-Source-Code gestoßen, der insbesondere für Kunden  von Cloud-Diensten treffen können. Es dreht sich um den wenig bekannten Software-Agenten namens Open Management Infrastructure (OMI). Open Management Infrastructure (OMI) ist ein Open-Source-Projekt, das von Microsoft in Zusammenarbeit mit The Open Group gefördert wird.

Es handelt sich im Wesentlichen um die Windows Management Infrastructure (WMI) für UNIX/Linux-Systeme. Mit OMI lassen sich Daten für Statistiken sammeln und Konfigurationen in der Linux-Umgebung synchronisieren.


Anzeige

Dank der Benutzerfreundlichkeit und der Abstraktion, die OMI bietet, wird es in großem Umfang von Azure-Diensten verwendet. Das schließt auch die Azure Operations Management Suite (OMS), Azure Insights und Azure Automation ein. Die Wiz-Leute schreiben:

Wenn Kunden eine virtuelle Linux-Maschine in ihrer Cloud einrichten, wird der OMI-Agent ohne ihr Wissen automatisch installiert, wenn sie bestimmte Azure-Dienste aktivieren. Bei ungepatchten Versionen dieses Agenten können Angreifer vier Schwachstellen leicht ausnutzen, um Root-Rechte zu erlangen und bösartigen Code remote auszuführen (z. B. um Dateien gegen Lösegeld zu verschlüsseln).

Der OMI-Agent läuft aber mit root-Berechtigungen. Ist die HTTP API (oder ein HTTPS-Port) einer aufgesetzten Linux VM unter Azure per Internet erreichbar, könnten Angreifer die nachfolgend aufgelisteten vier Schwachstellen remote ausnutzen und als root arbeiten. Standardmäßig sollen die HTTPS-Port sowohl bei Standalone Linux-Installationen und im Azure Configuration Management oder System Center Operations Manager (SCOM) aktiv sein. Die Linux VMs sind für Angreifer also offen wie ein Scheunentor. Die Sicherheitsforscher haben dieses Quartett von 0-Days Schwachstellen OMIGOD getauft (der erste Gedanke, als die Auswirkungen der Schwachstelle absehbar waren.

Die Sicherheitsforscher schätzen, dass Tausende von Azure-Kunden und Millionen von Endpunkten betroffen sind. In einer kleinen Stichprobe von Azure-Tenants, die von Wiz analysiert wurden, waren über 65 % unwissentlich gefährdet. Die Sicherheitsforscher von Wiz haben die Schwachstellen an Microsoft gemeldet.

Microsoft stellt Sicherheitsupdates bereit

Zum 14. September 2021 hat Microsoft die folgenden CVEs für OMIGOD veröffentlicht. Für die betreffenden Schwachstellen gibt es jeweils einen Patch:

Die besondere Brisanz: Microsoft verfügt nicht über einen automatischen Update-Mechanismus, sodass Administratoren der VMs die Agenten manuell aktualisieren müssen. Die Sicherheitsforscher von Wiz empfehlen allen Azure-Benutzern dringend, sicherzustellen, dass OMI in ihrer Umgebung gepatcht ist.

Wer ist betroffen?

Gefährdet sind Azure-Kunden mit Linux-Maschinen (d.h. mehr als die Hälfte aller Azure-Instanzen), sofern einer der folgenden Dienste/Tools verwendet wird.

  • Azure Automation
  • Azure Automatic Update
  • Azure Operations Management Suite (OMS)
  • Azure Log Analytics
  • Azure Configuration Management
  • Azure Diagnostics

Die Wiz-Sicherheitsforscher weisen darauf hin, dass die obige Liste unvollständig sein kann. Neben den Azure-Cloud-Kunden sind laut Wiz auch andere Microsoft-Kunden betroffen, da OMI unabhängig auf jedem Linux-Rechner installiert werden kann und häufig vor Ort eingesetzt wird. OMI ist zum Beispiel in System Center für Linux, der Serververwaltungslösung von Microsoft, integriert.

Die Aktualisierung von OMI erfolgt über den übergeordneten Azure-Dienst, der es installiert hat. Die Wiz-Sicherheitsforscher empfehlen Administratoren dringend zu überprüfen, ob ihre Umgebung tatsächlich gepatcht ist und sie die neueste Version von OMI (Version 1.6.8.1) verwenden. Insbesondere System Center-Bereitstellungen von OMI sind stärker gefährdet, da die Linux-Agenten veraltet sind. Kunden, die noch System Center mit OMI-basiertem Linux verwenden, müssen den OMI-Agenten möglicherweise manuell aktualisieren.

Wirklich gepatcht?

Details über den aktuellen Sachstand, sind in diesem Beitrag nachzulesen. Die Sicherheitsforscher wollen diesen Beitrag mit weiteren Informationen aktualisieren, sobald diese verfügbar sind.

OMIGOD vulnerabilityKevin Beaumont weist in obigem Tweet jedenfalls darauf hin, dass das Ganze nicht wirklich behoben ist. Setzt man eine neue VM mit Linux auf, wird der OMI-Agent mit den Sicherheitslücken ohne Nachfrage und Benachrichtigung installiert.

Ergänzung: In diesem Tweet wird gezeigt, wie sich das Azure Security Center zur Identifizierung von Maschinen, die für OMIGOD CVE-2021-38647 anfällig sind, verwenden lässt.

OMIGOD in Azure
Ergänzung 2: In obigem Tweet weist Kevin Beaumont auf den Umstand hin, dass der Fix in irgend einer CVE versteckt wurde. Juri Diogenes (@yuridiogenes) schreibt in diesem Tweet, dass man daran arbeite "Updates im allgemeinen" zu unterstützen. Die Idee sei, die Möglichkeit zu haben, direkt von ASC zu aktualisieren, indem Azure Update Management genutzt wird. Will Dormann schreibt hier:

On the upside, newly-created Azure VMs get the patched version of omi/sgx by default now. On the downside, I'm not convinced that existing VMs that already have the vulnerable OMI version will see the update unless the MSRepo is manually added and updated.

Neue Azure VMs erhalten zwar aktualisierte OMI-Agenten, wie es bei bestehenden OMI-Agenten ist, bleibt unklar – man sollte lieber manuell kontrollieren, ob die manuell aktualisiert werden müssen.


Anzeige

Dieser Beitrag wurde unter Cloud, Linux, Sicherheit, Update, Virtualisierung abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Microsoft Azure-Schwachstelle OMIGOD in Linux VMs patchen

  1. Tom sagt:

    Also macht MS nun Linux kaputt… jedenfalls in dieser Konstellation?

  2. janil sagt:

    Es ist, als wenn ein Countdown läuft, der runter zählt. Wenn er bei null ankommt, bricht das Internet, alle Clouds, Verbindungen, so wie wir sie kennen, zusammen.
    Leider wird, gefühlt, überhaupt nicht wirksam gegen diese Sabotage des Netzes vorgegangen.

    • Klaus S. sagt:

      Keine Panik, danach kommt dann das "neue Internet" mit Zugang nur über personalisiertes Zertifikat (wird da nicht grade sowas weltweit ausgerollt?) mit zertifizierten sicheren Geräten (Windows 11 TPM und Microsoft Konto Zwang lässt grüssen), Inhalte nur von zertifizierten Anbietern, Software ebenso, alles aus Sicherheitsgründen, and you'll be happy!

  3. Herbert sagt:

    Das ist ja unglaublich, was MS da wieder abzieht.

    Aber immerhin passt es zur Strategie "passwortloser Login" ;-)

  4. Günter Born sagt:

    Es gibt Berichte, dass die Schwachstellen ausgenutzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.