โปรแกรมจัดการ VM บน Azure มีช่องโหว่ กระทบลินุกซ์จำนวนมากที่รันบน Azure

ทีมวิจัยจาก Wiz.io รายงานถึงช่องโหว่ของโปรแกรม OMI (Open Management Infrastructure) ที่ช่วยจัดการโครงสร้างใน Azure โดยไมโครซอฟต์ติดตั้ง OMI ไปกับบริการจำนวนมากที่รันลินุกซ์บน Azure รวมถึง virtual machine ที่เลือกระบบปฎิบัติการลินุกซ์

ช่องโหว่ที่รายงานออกมามี 4 รายการ ที่ร้ายแรงที่สุดคือ CVE-2021-38647 ช่องโหว่รันโค้ดระยะไกล (CVSSv3 9.8 คะแนน) เนื่องจาก OMI สามารถรับคำสั่งจากภายนอกผ่านพอร์ต HTTP/HTTPS ได้ อย่างไรก็ดีไมโครซอฟท์ติดตั้ง OMI โดยไม่ได้คอนฟิกให้รับคำสั่งผ่านเน็ตเวิร์ค แต่อาศัยการเชื่อมต่อผ่าน unix socket เท่านั้น ทำให้คนร้ายจะต้องล็อกอินเข้ามาในเครื่องเสียก่อนจึงโจมตีผ่าน OMI ได้ ยกเว้น Azure Configuration Management และ System Center Operations Manager (SCOM) ที่ติดตั้ง OMI แบบรับคำสั่งผ่านเน็ตเวิร์คพอร์ต 5986 จึงควรป้องกันด้วยการปิดการเข้าถึงพอร์ตนี้ผ่านเน็ตเวิร์คโดยเร็ว

ปัญหาของผู้ใช้ Azure คือไมโครซอฟท์ติดตั้ง OMI ลงในลินุกซ์โดยไม่ได้ติดตั้งผ่าน repository ซอฟต์แวร์ตามปกติ ทำให้ไม่สามารถปล่อยอัพเดตผ่านคำสั่งเช่น apt upgrade ได้ ผู้ใช้จะต้องติดตั้ง repository ของไมโครซอฟท์ลงในเครื่องด้วยตัวเองจึงอัพเกรดได้

ทาง Wiz แนะนำให้ผู้ใช้ปิดกั้นการเข้าถึงพอร์ต 5986, 5985, และ 1270 เพื่อป้องกันไว้ก่อน

ที่มา – Wiz.io, Microsoft

No Description

from:https://www.blognone.com/node/124774