Пользователи Microsoft Azure, использующие виртуальные машины Linux в облаке, должны принять меры, чтобы защитить себя от уязвимостей OMIGOD внутри платформы Open Management Infrastructure (OMI).
Microsoft опубликовала патчи 14 сентября. Наименее серьезная из четырех уязвимостей имеет рейтинг 7 из 10. Наиболее серьезная — 9,8/10.
Ситуация усложняется тем, что агент OMI включается по умолчанию, когда клиенты настраивают виртуальную машину Linux в Azure.
Следовало ожидать, что Microsoft исправит уязвимости самостоятельно и обновит виртуальные машины с данными версиями. Обычно именно так поступают облачные операторы.
Однако Microsoft поступила иначе. Компания продолжает развертывание версий OMI с уязвимостями, когда пользователи создают новые виртуальные машины Linux.
Служба поддержки Microsoft 16 сентября заявила: «Клиенты должны обновлять уязвимые расширения для своих облачных и локальных развертываний по мере того, как обновления становятся доступными в соответствии с расписанием, указанным в таблице ниже». Однако благодаря неудачному форматированию найти уязвимости Azure в таблице непросто. Еще семь сервисов требуют обновления вручную.
Эксперт Кевин Бомонт опубликовал серию твитов с рекомендациями: «Вы должны убедиться, что используете последнюю версию программного обеспечения OMI в гостевых системах Linux; уязвимая сборка могла быть внедрена в виртуальную машину, если вы включили определенные службы (см. вышеупомянутую таблицу)».
Он признает, что действия Microsoft не увенчались успехом, компании не удалось обновить свои собственные системы в Azure, чтобы установить исправленную версию при развертывании новых виртуальных машин. «Честно говоря, отвисает челюсть», — пишет Бомонт.
Ранее поставщик средств безопасности Censys сообщил, что обнаружил «56 известных уязвимых служб по всему миру, которые, вероятно, подвержены этой проблеме, включая крупную медицинскую организацию и две крупные развлекательные компании». Бизнес же выяснил, что «массовое внешнее воздействие, которое наблюдалось с другими хостами в прошлом (на ум приходит Microsoft Exchange), в данном случае, похоже, не присутствует». Другими словами, уязвимых машин, подключенных к общедоступному Интернету, может быть не так много, либо их не так легко найти.
Однако в Sophos объясняют опасность уязвимости. Злоумышленник может просто опустить все упоминания токена аутентификации в веб-запросе OMI вместо того, чтобы подбирать действительный токен.
Уязвимость OMIGOD обнаружила компания решений для облачной безопасности Wiz. Потенциально она может быть использована для удаленного выполнения кода с целью получения root-прав.
В сентябре Microsoft сообщила, что исправила уязвимость в своих службах контейнеров Azure, которая могла быть использована злоумышленником для «доступа к информации клиентов». До этого компания предупредила тысячи клиентов о том, что в уязвимость в Azure позволяет злоумышленникам читать, изменять или даже удалять документы из базы данных Cosmos DB Microsoft Azure. Дыру в безопасности также обнаружили специалисты Wiz.
Между тем исследователи из CyberNews заявили, что они выявили более 2 млн веб-серверов, работающих на устаревших, не обслуживаемых и уязвимых Microsoft Internet Information Services (IIS).
