Critical Flaws Discovered in Azure App That Microsoft Secretly Installed on Linux VMs
마이크로소프트가 ‘패치 화요일’ 업데이트를 통해 공격자가 Azure 클라우드 고객을 타깃으로 악용할 경우 권한을 상승시키고 취약한 시스템을 원격으로 탈취할 수 있는 보안 취약점 4개를 패치했습니다.
Wiz의 연구원들이 OMIGOD라 명명한 이 취약점은 Azure 서비스 다수에 자동으로 배포되는 잘 알려지지 않은 소프트웨어 에이전트인 Open Management Infrastructure에 영향을 미칩니다.
CVE-2021-38647(CVSS 점수: 9.8) - Open Management Infrastructure의 원격 코드 실행 취약점
CVE-2021-38648(CVSS 점수: 7.8) - Open Management Infrastructure의 권한 상승 취약점
CVE-2021-38645(CVSS 점수: 7.8) - Open Management Infrastructure의 권한 상승 취약점
CVE-2021-38649(CVSS 점수: 7.0) - Open Management Infrastructure의 권한 상승 취약점
OMI(Open Management Infrastructure)는 WMI(Windows Management Infrastructure)와 유사한 오픈소스이지만 CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux, Ubuntu와 같은 리눅스 및 유닉스 시스템용으로 설계되었으며 IT 환경 전반에서 모니터링, 인벤토리 관리, 동기화 구성에 사용됩니다.
Azure Automation, Azure Automatic Update, Azure OMS(Operations Management Suite), Azure Log Analytics, Azure Configuration Management, Azure Diagnostics 사용자를 포함한 리눅스용 Azure 고객은 잠재적 악용 위험에 노출된 상태입니다.
Wiz의 보안 연구원인 Nir Ohfeld는 아래와 같이 설명했습니다.
"사용자가 위의 인기 서비스 중 하나를 활성화하면, OMI가 가상머신에 자동으로 설치되어 가능한 가장 높은 권한으로 실행됩니다. 이는 고객의 명시적 동의나 인지 없이 발생합니다. 사용자는 설치 중 로그 수집에 ‘동의’ 버튼을 누른 경우 자신도 모르게 이를 동의한 것이 됩니다.”
"OMI는 모든 Linux 시스템에 독립적으로 설치할 수 있고 온-프레미스에서 환경에서 자주 사용되기 때문에 Azure 클라우드 고객 외 다른 마이크로소프트 고객 또한 영향을 받습니다."
OMI 에이전트는 가장 높은 권한을 가진 루트로 실행되기 때문에, 외부의 공격자 또는 권한이 낮은 사용자가 앞서 언급한 취약점을 악용하여 타깃 시스템에서 원격으로 코드를 실행하고 권한을 상승시켜 공격자가 정교한 공격에 해당 권한을 악용할 수 있도록 합니다.
네 가지 취약점 중 가장 치명적인 것은 인터넷에 노출된 HTTPS 포트인 5986, 5985, 1270에서 발생하는 원격 코드 실행 취약점으로 공격자가 대상 Azure 환경에 대한 초기 액세스 권한을 얻은 후 네트워크 내에서 측면 이동할 수 있습니다.
"이것은 매우 교과서적인 RCE 취약점입니다. 2021년에 한 크롭에서 엔드포인트 수백만 개를 노출하는 것은 매우 드문 일입니다. 공격자는 단일 패킷으로 인증 헤더를 제거하기만 하면 원격 시스템에서 루트 권한을 얻을 수 있습니다. OMI는 선설치되어 클라우드 환경에 자동으로 배포되는 '비밀' 소프트웨어 에이전트의 한 예일 뿐입니다. 이러한 에이전트는 Azure뿐만 아니라 Amazon Web Services 및 Google Cloud Platform에도 존재합니다."
출처:
https://thehackernews.com/2021/09/critical-flaws-discovered-in-azure-app.html
https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649
마이크로소프트, MSHTML 제로데이 취약점인 CVE-2021-40444 수정 (0) | 2021.09.16 |
---|---|
Lenovo, 레거시 IBM System X 서버의 심각도 높은 취약점에 대한 완화 조치 발표 (0) | 2021.09.16 |
실제 공격에 악용되는 Cobalt Strike 비콘의 리눅스 구현인 Vermilion Strike 발견 (0) | 2021.09.15 |
HP OMEN 게임 PC, CVE-2021-3437 드라이버 취약점 영향받아 (0) | 2021.09.15 |
새로운 Zloader 공격, 탐지를 피하기 위해 마이크로소프트 디펜더 비활성화 시켜 (0) | 2021.09.15 |
댓글 영역