OMIGOD

これは4つの重大な脆弱性につけられた呼称です。

Azureで多くのサーバが稼働していますが、その半数以上はAzureLinuxだそうです。
で、このAzureLinuxの多くにインストールされているソフトウェアの一つに、Open Management
Infrastructure(OMI)というものがあります。
これは、複数のAzureの管理用サービスで使用される、ほとんどのUNIXシステムと最新のLinuxプラットフォームをサポートするIT管理用のソフトウェアサービスです。
次のツールまたはサービスのいずれかを実行しているLinuxマシンを使用しているすべてのAzureのサーバは、危険にさらされています。

  • Azure Automation
  • Azure Automatic Update
  • Azure Operations Management Suite (OMS)
  • Azure Log Analytics
  • Azure Configuration Management
  • Azure Diagnostics

ユーザーがこれらの人気のあるサービスのいずれかを有効にすると、OMIは仮想マシンにサイレントにインストールされ、可能な限り最高の特権で実行されます。
これは通常非常に便利ですが、サーバの利用者が明示的に管理できていない点に問題があるかもしれません。

で、OMIGODは、CVE番号で表現すると次の脆弱性となります。

  • CVE-2021-38647 – rootとして認証されていないRCE(重大度:9.8 / 10)
  • CVE-2021-38648 –特権昇格の脆弱性(重大度:7.8 / 10)
  • CVE-2021-38645 –特権昇格の脆弱性(重大度:7.8 / 10)
  • CVE-2021-38649 –特権昇格の脆弱性(重大度:7.0 / 10)

これらの脆弱性の悪用によって、初期アクセスの取得も横展開も可能になってしまいます。

現時点ではすでにこの脆弱性に対策できている新しいバージョンのOMIがリリースされています。
が、厄介なことに、この新しいバージョンのソフトウェアをAzure側で自動的に更新する機能は用意されていないのです。
更新するためにはサーバの管理者が手動で更新作業を実施する必要があります。
このツールが含まれているリポジトリをシステムに追加し、そのパッケージ群を管理するツールをインストールし、その後に更新です。

このツールは管理のためにポートのリスニングも実施しています。
このリスニングは標準ではなにもフィルタリングされていません。
ポート5985、5986、1270がこれに関連するものですので、これらのアクセス制御も必要になると思います。

自動的に手間なく簡単に、というのは通常歓迎されるのではないかと思います。
しかしときにはこういった特徴は安全性と同時には手に入らないこともあるのでしょうか。
ソフトウェアやサービスを提供する際には、その周辺にも気を配る必要があるということなのかもしれません。

参考記事(外部リンク):Microsoft fixes critical bugs in secretly installed Azure
Linux app

www.bleepingcomputer.com/news/microsoft/microsoft-fixes-critical-bugs-in-secretly-installed-azure-linux-app/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。