微軟於Patch Tuesday修補存在於Azure Open Management Infrastructure (OMI) 管理元件的四項漏洞後,又針對這些OMI元件漏洞發布額外安全指引。其中編號CVE-2021-38647的漏洞,研究人員發現已經出現針對性攻擊行動,來自惡名昭彰的Mirai殭屍網路程式。

安全研究人員發現,一個微軟甫修補的Azure OMI漏洞,已經出現攻擊行動,而且是惡名昭彰的Mirai殭屍網路程式。

微軟上周釋出9月份Patch Tuesday修補66項漏洞,包括已被開採的Windows MSHTML遠端程式碼執行(RCE)漏洞,以及存在於Azure Open Management Infrastructure (OMI) 管理元件的RCE,編號CVE-2021-38647。

OMI是用於IT管理的開原碼專案,它是DMTF CIM/WBEM(common information model/web-based enterprise management)標準的代理程式,支援Unix及Linux平臺。但在Azure上啟動Linux VM時,也會自動安裝OMI,但用戶並不知道。

微軟說明,受影響的產品包括本地部署的Linux版SCOM(System Center Operations Manager)或是Azure所有啟用OMI的管理元件,如Automation Sate Configuration、Azure Desired State Configuration擴充程式。此外,Azure OMS(Operation Management Suite,OMS)、Azure Insights、Azure Automations及 Azure Log Analytics等等。

這項漏洞一旦開採成功,攻擊者不需驗證即可以根(root)權限在Azure VM執行程式碼,為一風險值9.8的重大漏洞。安全廠商Wiz研究員Nir Ohfeld及Shir Tamari將CVE-2021-38647稱為OMIGOD。

微軟上周修補時,OMIGOD還未被開採。但上周安全研究人員發現,Mirai殭屍網路程式正對OMIGOD發動大規模分散式阻斷服務(DDoS)攻擊,而且這隻程式還會關閉受害主機的5896傳輸埠以杜絕其他後來的攻擊者。據信攻擊IP來源為中國。

研究人員證實Mirai已經將OMIGOD的開採程式納入到其正式工具中。

除了OMIGOD外,微軟同時還修補了Azure OMI 3個高風險的權限升級(EoP)漏洞(CVE-2021-38645、CVE-2021-38648、及CVE-2021-38649)。

微軟於Patch Tuesday後,又針對OMI元件漏洞發布額外安全指引。微軟說明,CVE-2021-38647(OMIGOD)影響v.1.6.8-1以前的所有版本。

微軟的指引包括以Azure內建的漏洞掃瞄工具掃瞄漏洞,並等待微軟更新的管理擴充程式,這些更新是自動部署到Azure上。微軟表示針對包含這些OMI擴充程式的PaaS服務,會儘速部署各雲端區域的新版擴充程式。


熱門新聞

Advertisement