{"id":25976,"date":"2021-09-17T14:36:50","date_gmt":"2021-09-17T12:36:50","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25976"},"modified":"2021-09-17T14:36:50","modified_gmt":"2021-09-17T12:36:50","slug":"vulnerabilities-in-omi-azure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/vulnerabilities-in-omi-azure\/25976\/","title":{"rendered":"Las vulnerabilidades en OMI amenazan a las m\u00e1quinas virtuales Linux con Microsoft Azure"},"content":{"rendered":"

Estos d\u00edas se ha difundido la noticia<\/a> de una pr\u00e1ctica bastante peligrosa en Microsoft Azure, seg\u00fan la cual cuando un usuario crea una m\u00e1quina virtual Linux y habilita ciertos servicios de Azure, la plataforma Azure instala autom\u00e1ticamente el agente Open Management Infrastructure (OMI) en la m\u00e1quina sin que el usuario se percate.<\/p>\n

Aunque una instalaci\u00f3n sigilosa puede sonar terrible a simple vista, en realidad no ser\u00eda tan mala si no fuera por dos problemas: primero, este agente presenta vulnerabilidades conocidas y, segundo, no cuenta con un mecanismo de actualizaci\u00f3n autom\u00e1tica en Azure. Hasta que Microsoft resuelva este problema por completo, las organizaciones que utilizan m\u00e1quinas virtuales Linux en Azure deber\u00e1n tomar medidas.<\/p>\n

Vulnerabilidades en Open Management Infrastructure y c\u00f3mo los atacantes pueden explotarlas<\/h2>\n

El martes de parches de septiembre, Microsoft public\u00f3 actualizaciones de seguridad para cuatro vulnerabilidades en Open Management Infrastructure. Una de ellas, la CVE-2021-38647<\/a>, permite la ejecuci\u00f3n remota de c\u00f3digo (RCE)<\/a> y es grave, y las otras tres, CVE-2021-38648<\/a>, CVE-2021-38645<\/a> y CVE-2021-38649<\/a>, se pueden usar para la escalada de privilegios (LPE)<\/a> en ataques de m\u00faltiples etapas cuando los atacantes han accedido a la red de una v\u00edctima con anticipaci\u00f3n. Estas tres vulnerabilidades tienen una puntuaci\u00f3n alta en la CVSS.<\/p>\n

Cuando los usuarios de Microsoft Azure crean una m\u00e1quina virtual Linux y habilitan una serie de servicios, OMI (con sus vulnerabilidades y todo lo dem\u00e1s) se implementa en el sistema autom\u00e1ticamente. Los servicios incluyen Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management y Azure Diagnostics, una lista que probablemente est\u00e9 lejos de estar al completo. El agente de Open Management Infrastructure por s\u00ed solo contiene los privilegios m\u00e1s altos dentro del sistema y, debido a que sus tareas incluyen la recopilaci\u00f3n de estad\u00edsticas y la sincronizaci\u00f3n de los ajustes, generalmente queda accesible desde Internet a trav\u00e9s de varios puertos HTTP, seg\u00fan los servicios habilitados.<\/p>\n

Por ejemplo, si el puerto de escucha es 5986, los atacantes podr\u00edan aprovechar la vulnerabilidad CVE-2021-38647 y ejecutar c\u00f3digo malicioso en remoto. Si el OMI est\u00e1 disponible para administraci\u00f3n remota (a trav\u00e9s del puerto 5986, 5985 o 1270), los externos pueden aprovechar la misma vulnerabilidad para obtener acceso a todo el entorno de la red en Azure. Los expertos afirman que la vulnerabilidad es muy f\u00e1cil de explotar.<\/p>\n

\n

This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com\/iIHNyqgew4<\/a><\/p>\n

\u2014 Ami Luttwak (@amiluttwak) September 14, 2021<\/a><\/p><\/blockquote>\n