Nhiều lỗ hổng nghiêm trọng ảnh hướng đến khách hàng sử dụng Azure

08:00 | 29/09/2021 | LỖ HỔNG ATTT

Các nhà nghiên cứu bảo mật vừa tiết lộ các lỗ hổng nghiêm trọng mới trong phần mềm Giao diện Quản lý Mở (Open Management Interface - OMI) của Microsoft Azure, với một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa không cần xác thực được xếp hạng 9,8 (CVSS 3.0).

Nhiều lỗ hổng nghiêm trọng ảnh hướng đến khách hàng sử dụng Azure

OMI là gì?

Cơ sở hạ tầng quản lý mở (OMI) là một mã nguồn mở tương đương với Cơ sở hạ tầng quản lý Windows (Windows Management Infrastructure - WMI) nhưng được thiết kế cho các hệ thống Linux và UNIX. OMI được cài đặt sẵn trong Azure Linux VM để hỗ trợ các tuỳ chọn cấu hình, báo cáo và ghi nhật ký từ giao diện và các API của nhà cung cấp dịch vụ cloud Azure. Do tính dễ sử dụng và trừu tượng mà OMI cung cấp, nó được sử dụng rộng rãi trong Azure, đặc biệt là bên trong Open Management Suite (OMS), Azure Insights, Azure Automation và nhiều sản phẩm khác.

Thông tin về các lỗ hổng

Trong bốn lỗ hổng được công bố thì có một lỗ hổng cho phép thực thi mã từ xa mà không cần xác thực có tên là “OMIGOD” vừa được tìm thấy trên OMI. Lỗ hổng này cho phép hacker truy cập từ xa vào các máy Linux trên Azure thông qua các cổng TCP 1270, 5985 và 5986. Khi hacker có quyền truy cập từ xa, về mặt lý thuyết, họ có thể leo thang đặc quyền, di chuyển ngang qua các môi trường và thực thi mã từ xa với quyền của người dùng root (người dùng có quyền cao nhất trên Linux). Ngoài ra hacker còn có thể định vị và lấy cắp dữ liệu nhạy cảm trong môi trường Azure.

Ba lỗ hổng còn lại được phân loại là lỗ hổng leo thang đặc quyền và chúng có thể cho phép hacker giành được đặc quyền cao nhất trên máy có cài đặt OMI. Các hacker thường sử dụng các lỗ hổng này như một phần của chuỗi tấn công tinh vi, sau khi có được quyền truy cập đặc quyền thấp ban đầu vào mục tiêu của chúng.

Mã CVE và điểm CVSS cho các lỗ hổng:

CVE-2021-38647 (Điểm CVSS: 9,8) - Lỗ hổng thực thi mã từ xa trên OMI
CVE-2021-38648 (Điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38645 (điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38649 (Điểm CVSS: 7,0) - Lỗ hổng leo thang đặc quyền trên OMI

Lỗ hổng thực thi mã từ xa CVE-2021-38647

Những dịch vụ nào bị ảnh hưởng?

Phần lớn các tổ chức lớn sử dụng Azure đều bị ảnh hưởng. Các khách hàng bị ảnh hưởng khi sử dụng một trong các dịch vụ Azure sau:

Azure Automation;
Azure Automatic Update;
Azure Operations Management Suite;
Azure Log Analytics;
Azure Configuration Management;
Azure Diagnostics.

Hướng dẫn cập nhật OMI

Hiện tại Microsoft đang phát hành các bản vá cho bốn lỗ hổng này, nhưng OMI không có cơ chế tự động cập nhật nên người dùng sẽ cần cập nhật bản cài v1.6.8.1 thủ công từ trang chủ trên GitHub. Điều này khiến cho rất nhiều máy chủ vẫn tiếp tục sử dụng OMI bản cũ khi khách hàng không biết rằng OMI được cài mặc định trên máy chủ của họ.

Đây là hướng dẫn cập nhật thủ công cho OMI:

Thêm repo vào máy chủ. Tham khảo link sau để chọn đúng repo cho phiên bản OS đang dùng: https://docs.microsoft.com/en-us/windows-server/administration/Linux-Package-Repository-for-Microsoft-Software
Sử dụng lệnh “sudo apt install omi” hoặc “yum install omi”.

Ngoài ra, các khách hàng của Azure có thể sử dụng tường lửa để chặn truy cập đến các cổng 5985, 5986, 1270 trong khi chờ đợi để cập nhật cho các máy chủ. Vì khả năng dễ khai thác của các lỗ hổng này, hãy thực hiện điều này sớm nhất có thể.

Đăng Thứ

(Nguồn: Microsoft)

‹ › ×

Tin liên quan

Ra mắt giải pháp công nghệ SD-WAN an toàn cho mạng WAN ảo Azure của Microsoft

17:00 | 04/12/2019

Công ty Dịch vụ chuyển đổi truyền thông Tata (TCTS) và Công ty Bảo mật Fortinet đã làm việc với Microsoft Azure để giới thiệu một giải pháp công nghệ SD-WAN được quản lý an toàn dành cho hệ thống mạng WAN ảo Azure.

Tính năng Confidential Compute của Azure giúp bảo mật dữ liệu – ngay cả với Microsoft

14:00 | 05/10/2017

Mới đây, Tập đoàn Microsoft đã công bố một tính năng bảo mật mới có tên Confidential Compute - cho nền tảng điện toán đám mây Azure.

7 công cụ thực thi các cuộc tấn công các máy chủ Linux

09:00 | 16/04/2021

Hệ điều hành Linux là một nhóm thuộc họ hệ điều hành giống Unix (Unix-like). Đã từ lâu, có nhiều ý kiến cho rằng Linux là hệ điều hành mặc định an toàn và không dễ bị nhiễm mã độc. Linux đã không phải đối mặt với sự tràn lan của virus, sâu và Trojan giống như những hệ thống chạy Windows nhưng hệ thống Linux chịu tấn công từ các backdoor PHP, rootkit và mã khai thác. Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) tại hãng Kaspersky đã nghiên cứu về hoạt động của mối đe dọa dai dẳng nâng cao (APT) dựa trên các thu thập dữ liệu thông minh về các mối đe dọa trong không gian mạng. Dưới đây sẽ giới thiệu 7 công cụ thực thi các cuộc tấn công máy chủ Linux.

Năng lực không gian mạng của Israel (phần 2)

10:00 | 04/02/2022

Nối tiếp phần 1, phần 2 của bài báo tập trung trình bày năng lực không gian mạng của Israel ở khía cạnh khả năng phục phồi, vai trò lãnh đạo toàn cầu và khả năng tấn công mạng của nước này.

Về sự an toàn của hệ điều hành Linux/Unix

10:10 | 05/01/2015

Một dạng tấn công mới xuất hiện và đặc biệt nguy hiểm đối với các hệ điều hành Linux/Unix, đó là tấn công với tên gọi Shellshock dựa trên một lỗ hổng an toàn của hệ vỏ Bash trong Linux/Unix. Sau khi xem xét lịch sử mã nguồn, người ta đã phát hiện rằng lỗ hổng an toàn này đã tồn tại từ nhiều năm trước đây. Tuy nhiên, tấn công khai thác lỗ hổng này mới chỉ được công bố rộng rãi trên thế giới từ tháng 9/2014. Ngoài ra, còn có một số lỗ hổng an toàn khác trong Linux kernel.

Hệ thống con Linux của Windows 10 cho phép mã độc trở nên “tàng hình”

08:00 | 13/10/2017

Các nhà nghiên cứu của Check Point Software Technologies đã phát hiện ra tính năng WSL có thể cho phép các mã độc (được viết cho Linux) tấn công Windows mà các phần mềm an ninh hiện tại không biết được.

Tin cùng chuyên mục

Tấn công ransomware thông qua tính năng Microsoft Office 365

12:00 | 30/06/2022

Một "tính năng nguy hiểm" trong Microsoft 365 đã được các nhà nghiên cứu tại Công ty an ninh mạng Proofpoint (Hoa Kỳ) phát hiện có khả năng bị khai thác để tấn công ransomware, với các tệp lưu trữ trên SharePoint và OneDrive để khởi động các cuộc tấn công vào cơ sở hạ tầng đám mây.

Phân loại các kỹ thuật tấn công lừa đảo (phần 2)

09:00 | 09/06/2022

Phần I của bài báo đã tập trung trình bày về kỹ thuật tấn công lừa đảo dựa trên con người. Nội dung phần hai của bài báo sẽ nói về các loại tấn công lừa đảo dựa vào các kỹ thuật máy tính.

Một số cách nhận biết các cuộc gọi giả mạo để lừa đảo người dùng

13:00 | 01/06/2022

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục An toàn thông tin, Bộ TT&TT cho biết, thời gian vừa qua, cơ quan này thường xuyên nhận được phản ánh từ người dân về việc họ nhận được các cuộc gọi giả mạo. Theo đó Cục khuyến nghị, người dân có thể nâng cao kiến thức và mức độ nhận diện để tránh trở thành nạn nhân của các cuộc gọi lừa đảo bằng việc xem các video kể về quá trình bị lừa đảo của một số YouTuber.