攻擊者利用Microsoft Azure OMIGOD漏洞釋放Mirai和挖礦機(jī)。

　　Open Management Infrastructure （OMI，開(kāi)放管理基礎(chǔ)設(shè)施）是為L(zhǎng)inux和Unix系統(tǒng)設(shè)計(jì)的類似Windows Management Infrastructure （WMI，Windows管理基礎(chǔ)設(shè)施）的開(kāi)源工具，可以用于IT環(huán)境的監(jiān)控、資產(chǎn)管理和同步配置等。

　　漏洞概述

　　OMI 代理以最高權(quán)限r(nóng)oot運(yùn)行，任意用戶都可以使用Unix socket或通過(guò)HTTP API與之通信。研究人員在Microsoft Azure OMI中發(fā)現(xiàn)了4個(gè)0 day安全漏洞——OMIGOD，攻擊者利用這些漏洞可以使外部用戶或低權(quán)限用戶在目標(biāo)機(jī)器上遠(yuǎn)程執(zhí)行代碼或?qū)崿F(xiàn)權(quán)限提升：

　　CVE-2021-38647 （CVSS評(píng)分： 9.8） – OMI遠(yuǎn)程代碼執(zhí)行漏洞

　　CVE-2021-38648 （CVSS評(píng)分： 7.8） – OMI權(quán)限提升漏洞

　　CVE-2021-38645 （CVSS評(píng)分： 7.8） - OMI權(quán)限提升漏洞

　　CVE-2021-38649 （CVSS評(píng)分： 7.0） - OMI權(quán)限提升漏洞

　　4個(gè)0 day漏洞中有3個(gè)是權(quán)限提升漏洞，攻擊者利用相關(guān)漏洞可以在安裝OMI的機(jī)器上獲得最高權(quán)限；第4個(gè)漏洞是遠(yuǎn)程代碼執(zhí)行漏洞，CVSS評(píng)分9.8分，也是這4個(gè)漏洞中最嚴(yán)重的。

　　漏洞在野利用

　　9月，微軟在微軟補(bǔ)丁日修復(fù)了這4個(gè)安全漏洞。但隨后就有研究人員發(fā)現(xiàn)攻擊者利用相關(guān)漏洞進(jìn)行僵尸網(wǎng)絡(luò)攻擊和傳播加密貨幣挖礦惡意軟件。

　　德國(guó)安全研究人員Germán Fernández稱，攻擊者掃描互聯(lián)網(wǎng)上暴露的Azure Linux虛擬機(jī)，然后發(fā)現(xiàn)有超過(guò)110臺(tái)服務(wù)器存在漏洞。然后利用相關(guān)的漏洞利用構(gòu)造僵尸網(wǎng)絡(luò)。

　　安全研究人員Kevin Beaumont還發(fā)現(xiàn)有攻擊者利用OMIGOD漏洞來(lái)攻擊有受影響的Azure機(jī)器來(lái)部署加密貨幣挖礦機(jī)payload。

　　如何確保Azure虛擬機(jī)安全

　　微軟已經(jīng)發(fā)布了漏洞補(bǔ)丁，同時(shí)微軟也正在向未啟用自動(dòng)更新的云客戶推送安全更新。Redmond稱，受影響的用戶必須安裝補(bǔ)丁，用戶也可以通過(guò)內(nèi)置的Linux包管理器手動(dòng)更新OMI代理，也可以使用平臺(tái)的包管理器工具來(lái)更新OMI，比如使用命令sudo apt-get install omi或sudo yum install omi。