{"id":25558,"date":"2021-09-20T17:20:04","date_gmt":"2021-09-20T15:20:04","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25558"},"modified":"2021-09-20T17:20:04","modified_gmt":"2021-09-20T15:20:04","slug":"vulnerabilities-in-omi-azure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/vulnerabilities-in-omi-azure\/25558\/","title":{"rendered":"Le vulnerabilit\u00e0 di Open Management Infrastructure minacciano i dispositivi virtuali Linux su Microsoft Azure"},"content":{"rendered":"

\u00c8 emersa<\/a> la notizia di una pratica piuttosto pericolosa in Microsoft Azure, secono la quale quando un utente crea una macchina virtuale Linux e abilita alcuni servizi Azure, la piattaforma Azure installa automaticamente l\u2019agente Open Management Infrastructure (OMI) sul dispositivo, senza che l\u2019utente se ne accorga.<\/p>\n

Anche se un\u2019installazione \u201cfurtiva\u201d potrebbe sembrare una cattiva idea a priori, in realt\u00e0 non sarebbe cos\u00ec male se non fosse per due problemi: in primo luogo, l\u2019agente ha vulnerabilit\u00e0 note e, in secondo luogo, non ha un meccanismo di aggiornamento automatico sy Azure. Finch\u00e9 Microsoft non risolver\u00e0 questo problema, le aziende che utilizzano dispositivi virtuali Linux su Azure dovranno prendere provvedimenti.<\/p>\n

Vulnerabilit\u00e0 nell\u2019infrastruttura di Open Management e come possono essere sfruttate dai cybercriminali<\/h2>\n

Nel Patch Tuesday di settembre, Microsoft ha rilasciato aggiornamenti di sicurezza per quattro vulnerabilit\u00e0 presenti nell\u2019agente Open Management Infrastructure. Una di esse, CVE-2021-38647<\/a>, permette l\u2019esecuzione di un codice da remoto (RCE)<\/a> ed \u00e8 critica, mentre le altre tre, CVE-2021-38648<\/a>, CVE-2021-38645<\/a>, CVE-2021-38649,<\/a> possono essere utilizzate per ottenere\u00a0 maggiori privilegi\u00a0 di accesso (LPE \u2013 Local Privilege Escalation)<\/a> in attacchi multifase. Ci\u00f2 \u00e8 possibile nel caso in cui i criminali informatici si siano intrufolati previamente nella rete della vittima. Queste tre vulnerabilit\u00e0 hanno un punteggio elevato nel CVSS.<\/p>\n

Quando gli utenti di Microsoft Azure creano una macchina virtuale Linux e abilitano una serie di servizi, OMI (e le sue vulnerabilit\u00e0), si distribuisce automaticamente nel sistema. I servizi includono Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, un elenco che purtroppo \u00e8 tutt\u2019altro che completo. L\u2019agente Open Management Infrastructure da solo ha i privilegi pi\u00f9 alti nel sistema, e poich\u00e9 i suoi compiti includono la raccolta di statistiche e la sincronizzazione delle configurazioni, \u00e8 generalmente accessibile da Internet attraverso varie porte HTTP, a seconda dei servizi abilitati.<\/p>\n

Per esempio, se la porta di ascolto \u00e8 la 5986, i cybercriminali potrebbero potenzialmente sfruttare la vulnerabilit\u00e0 CVE-2021-38647 ed eseguire un codice dannoso da remoto. Se OMI \u00e8 disponibile per la gestione remota (attraverso le porte 5986, 5985, o 1270), i cybercriminali possono sfruttare la stessa vulnerabilit\u00e0 per ottenere l\u2019accesso all\u2019intera rete locale in Azure. Gli esperti sostengono che la vulnerabilit\u00e0 sia molto facile da sfruttare.<\/p>\n

\n

This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com\/iIHNyqgew4<\/a><\/p>\n

\u2014 Ami Luttwak (@amiluttwak) September 14, 2021<\/a><\/p><\/blockquote>\n