Cơ sở hạ tầng quản lý mở (OMI) là một mã nguồn mở tương đương với Cơ sở hạ tầng quản lý Windows (Windows Management Infrastructure - WMI) nhưng được thiết kế cho các hệ thống Linux và UNIX. OMI được cài đặt sẵn trong Azure Linux VM để hỗ trợ các tuỳ chọn cấu hình, báo cáo và ghi nhật ký từ giao diện và các API của nhà cung cấp dịch vụ cloud Azure. Do tính dễ sử dụng và trừu tượng mà OMI cung cấp, nó được sử dụng rộng rãi trong Azure, đặc biệt là bên trong Open Management Suite (OMS), Azure Insights, Azure Automation và nhiều sản phẩm khác.
Trong bốn lỗ hổng được công bố thì có một lỗ hổng cho phép thực thi mã từ xa mà không cần xác thực có tên là “OMIGOD” vừa được tìm thấy trên OMI. Lỗ hổng này cho phép hacker truy cập từ xa vào các máy Linux trên Azure thông qua các cổng TCP 1270, 5985 và 5986. Khi hacker có quyền truy cập từ xa, về mặt lý thuyết, họ có thể leo thang đặc quyền, di chuyển ngang qua các môi trường và thực thi mã từ xa với quyền của người dùng root (người dùng có quyền cao nhất trên Linux). Ngoài ra hacker còn có thể định vị và lấy cắp dữ liệu nhạy cảm trong môi trường Azure.
Ba lỗ hổng còn lại được phân loại là lỗ hổng leo thang đặc quyền và chúng có thể cho phép hacker giành được đặc quyền cao nhất trên máy có cài đặt OMI. Các hacker thường sử dụng các lỗ hổng này như một phần của chuỗi tấn công tinh vi, sau khi có được quyền truy cập đặc quyền thấp ban đầu vào mục tiêu của chúng.
Mã CVE và điểm CVSS cho các lỗ hổng:
CVE-2021-38647 (Điểm CVSS: 9,8) - Lỗ hổng thực thi mã từ xa trên OMI
CVE-2021-38648 (Điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38645 (điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trên OMI
CVE-2021-38649 (Điểm CVSS: 7,0) - Lỗ hổng leo thang đặc quyền trên OMI
Lỗ hổng thực thi mã từ xa CVE-2021-38647
Phần lớn các tổ chức lớn sử dụng Azure đều bị ảnh hưởng. Các khách hàng bị ảnh hưởng khi sử dụng một trong các dịch vụ Azure sau:
Azure Automation;
Azure Automatic Update;
Azure Operations Management Suite;
Azure Log Analytics;
Azure Configuration Management;
Azure Diagnostics.
Hiện tại Microsoft đang phát hành các bản vá cho bốn lỗ hổng này, nhưng OMI không có cơ chế tự động cập nhật nên người dùng sẽ cần cập nhật bản cài v1.6.8.1 thủ công từ trang chủ trên GitHub. Điều này khiến cho rất nhiều máy chủ vẫn tiếp tục sử dụng OMI bản cũ khi khách hàng không biết rằng OMI được cài mặc định trên máy chủ của họ.
Đây là hướng dẫn cập nhật thủ công cho OMI:
Thêm repo vào máy chủ. Tham khảo link sau để chọn đúng repo cho phiên bản OS đang dùng: https://docs.microsoft.com/en-us/windows-server/administration/Linux-Package-Repository-for-Microsoft-Software
Sử dụng lệnh “sudo apt install omi” hoặc “yum install omi”.
Ngoài ra, các khách hàng của Azure có thể sử dụng tường lửa để chặn truy cập đến các cổng 5985, 5986, 1270 trong khi chờ đợi để cập nhật cho các máy chủ. Vì khả năng dễ khai thác của các lỗ hổng này, hãy thực hiện điều này sớm nhất có thể.
Đăng Thứ
(Nguồn: Microsoft)
17:00 | 04/12/2019
14:00 | 05/10/2017
09:00 | 16/04/2021
10:00 | 04/02/2022
10:10 | 05/01/2015
08:00 | 13/10/2017
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
16:00 | 06/09/2023
Chuyên gia an ninh mạng của Zero Day Initiative phát hiện lỗ hổng nghiêm trọng trong WinRAR - công cụ giải nén phổ biến được hàng triệu người dùng Windows sử dụng. Lỗ hổng này đã được báo cáo lỗ hổng cho nhà cung cấp RARLAB. Đáng lưu ý, tin tặc có thể thực thi các lệnh trên máy tính từ xa nếu người dùng vô tình mở một file nén có mã độc.
11:00 | 19/04/2023
Hàng loạt điện thoại Android được phát hiện đang tồn tại nhiều lỗ hổng bảo mật nghiêm trọng, cho phép tin tặc dễ dàng xâm nhập vào các thiết bị này.
14:00 | 09/02/2023
ChatGPT có thể được sử dụng để phổ biến và lan truyền tin tức giả trên quy mô lớn và thậm chí là trở thành công cụ giúp tin tặc viết mã độc.
Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.
12:00 | 06/05/2024