OMI-Schwachstellen bedrohen Microsoft Azure-Kunden mit virtuellen Linux-PCs

Der OMI-Agent (Open Management Infrastructure) mit vier Schwachstellen wird automatisch auf virtuellen Linux-PCs in Microsoft Azure installiert.

Eine recht gefährliche Methode von Microsoft Azure ist bekannt geworden, und zwar wird auf Computern von Personen, die einen virtuellen Linux-PC erstellen und beim Vorgang bestimmte Azure-Dienste aktivieren, automatisch – ohne Wissen ihrer Betreiber  – der Software-Agent Open Management Infrastructure (OMI) installiert.

Eine heimliche Installation ist eigentlich schon schlimm genug, aber es kommt noch schlimmer: Der Software-Agent hat bekannte Schwachstellen und außerdem gibt es in Azure keinen automatischen Aktualisierungsmechanismus für diesen Agenten. Bis Microsoft eine Lösung für das Problem findet, müssen Organisationen, die virtuelle Linux-Computer in Azure verwenden, vorläufig selbst Schutzmaßnahmen ergreifen.

Schwachstellen in der Open Management Infrastructure und wie Angreifern sie ausnutzen können

Am Patch-Dienstag im September hat Microsoft Sicherheitsupdates für vier Schwachstellen im Software-Agent Open Management Infrastructure veröffentlicht. Bei der Schwachstelle CVE-2021-38647 handelt es sich um eine kritische Sicherheitslücke, die Code-Ausführung aus der Ferne (engl. Remote Code Execution, RCE) ermöglicht. Die anderen drei, CVE-2021-38648, CVE-2021-38645 und CVE-2021-38649, können in mehrstufigen Angriffen für Rechteausweitung (engl. Pprivilege Escalation, LPE) verwendet werden, wenn die Cyberverbrecher vor dem Angriff in das Netzwerk des Opfers eindringen wollen. Nach der Schwachstellenbewertung mit CVSS (Common Vulnerability Scoring System) haben diese Sicherheitslücken einen hohen Schweregrad.

Wenn Benutzer von Microsoft Azure einen virtuellen Linux-PC erstellen und bestimmte Dienste aktivieren, wird der OMI-Agent – zusammen mit allen Schwachstellen – automatisch im System implementiert. Zu den betroffenen Diensten zählen Azure Automation, Azure Automation-Updateverwaltung, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Manager und Azure-Diagnose – und die Liste ist höchstwahrscheinlich sehr lückenhaft. Der Software-Agent Open Management Infrastructure hat die höchsten Rechte im System. Da das Sammeln von Statistiken und Synchronisierungseinstellungen zu den Aufgaben des Agenten zählen, kann in der Regel vom Internet über mehrere HTTP-Ports darauf zugegriffen werden, je nachdem welche Dienste aktiviert sind.

Wenn der abhörenden Ports beispielsweise 5986 ist, könnte ein Angreifer potenziell die Schwachstelle CVE-2021-38647 ausnutzen und schädlichen Code aus der Ferne ausführen. Steht der OMI-Agent für Remote-Verwaltung zur Verfügung (über Port 5986, 5985 oder 1270), kann dieselbe Schwachstelle von Außenstehenden ausgenutzt werden, um Zugriff auf die komplette Netzwerkumgebung in Azure zu erhalten. Laut Experten ist es sehr einfach diese Schwachstelle für Exploits auszunutzen.

Bisher sind noch keine Angriffe in freier Wildbahn bekannt, doch da es sich inzwischen herumgesprochen hat, wie leicht diese Schwachstellen ausgenutzt werden können, dauert es möglicherweise nicht mehr lange bis die ersten Exploits stattfinden.

So können Sie sich schützen

Microsoft hat bereits Patches für alle vier Sicherheitslücken veröffentlicht. Da der OMI-Agent sich allerdings nicht immer automatisch aktualisiert, ist es wichtig zu überprüfen welche Version auf Ihrem virtuellen Linux-PC implementiert ist. Wenn die Version älter als 1.6.8.1 ist, aktualisieren Sie Ihren Software-Agenten Open Management Infrastructure. Detaillierte Anleitungen für das Update finden Sie in der Beschreibung der Schwachstelle CVE-2021-38647.

Experten empfehlen außerdem den Netzwerkzugriff auf die Ports 5985, 5986 und 1270 einzuschränken, um Code-Ausführung aus der Ferne zu verhindern.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.