微軟Azure默認(rèn)Linux配置曝出嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞

盡管微軟表示深?lèi)?ài) Linux，但這點(diǎn)并沒(méi)有在 Azure 云端得到很好的貫徹。Wiz 安全研究團(tuán)隊(duì)近日指出，他們?cè)谥T多流行的 Azure 服務(wù)中，發(fā)現(xiàn)了開(kāi)放管理基礎(chǔ)設(shè)施（OMI）軟件代理中存在的一系列嚴(yán)重漏洞。問(wèn)題在于當(dāng) Azure 客戶在云端設(shè)置 Linux 虛擬機(jī)服務(wù)時(shí)，OMI 代理會(huì)在他們不知情的情況下自動(dòng)部署。

（來(lái)自：Wiz Research）

但除非及時(shí)打上了補(bǔ)丁，否者攻擊者就能夠利用四個(gè)漏洞來(lái)獲得提升后的 root 權(quán)限，從而遠(yuǎn)程執(zhí)行任意惡意代碼（比如加密文件以勒索贖金）。

更糟糕的是，黑客只需發(fā)送一個(gè)剔除了身份驗(yàn)證標(biāo)頭的數(shù)據(jù)包，即可滲透并取得遠(yuǎn)程機(jī)器上的 root 訪問(wèn)權(quán)限。若 OMI 開(kāi)放了 5986、5985 或 1270 端口，系統(tǒng)就更容易受到攻擊。

據(jù)悉，由于一個(gè)簡(jiǎn)單的條件語(yǔ)句編程錯(cuò)誤、結(jié)合未初始化的 auth 結(jié)構(gòu)，任何缺乏 Authorization 標(biāo)頭的請(qǐng)求，都被默認(rèn)賦予了 uid=0、gid=0 的 root 級(jí)別權(quán)限。

Wiz 將該漏洞稱(chēng)作“OMIGOD”，并推測(cè) Azure 上多達(dá) 65% 的 Linux 部署都受到影響。慶幸的是，微軟已經(jīng)發(fā)布了 1.6.8.1 修補(bǔ)版本的 OMI 軟件代理，同時(shí)建議客戶手動(dòng)執(zhí)行更新。

最后，Wiz 建議用戶酌情選擇是否允許 OMI 監(jiān)聽(tīng) 5985、5986、1270 這三個(gè)端口。如非必要，還請(qǐng)立即限制對(duì)這些端口的訪問(wèn)，以封堵 CVE-2021-38647 遠(yuǎn)程代碼執(zhí)行（RCE）漏洞。