微软在 Linux 虚拟机偷偷安装Azure App，后修复严重漏洞但Linux虚拟机难以修复

 聚焦源代码安全，网罗国内外最新资讯！

Wiz 公司的研究团队最近发现了一系列令人警醒的漏洞，强调了开源代码的供应链风险，尤其是云计算服务用户所面临的风险。该问题的来源是一款十分普遍但所知甚少的软件代理：开放管理基础设施 (OMI)，它内嵌在很多流行的 Azure 服务中。

当客户在云中设置 Linux 虚拟机并启用某些 Azure 服务时，OMI 代理就会在客户毫无察觉的情况下被自动部署。除非打补丁，则攻击者可轻易利用这四个漏洞提升至root权限并远程执行恶意代码（如加密文件以获得勒索金）。

Wiz 公司将这四个0day 命名为 “OMIGOD”，预测影响数千名 Azure 客户和数百万个端点。在所分析的一个 Azure租户小型样本中，其中超过65%的租户不不知自己正面临着这种风险。

微软在本月补丁星期二中修复了这四个漏洞（CVE-2021-38647、CVE-2021-38648、CVE-2021-38645和CVE-2021-38649）。

所有 Azure 用户应尽快应用这些补丁。

微软指出，Azure 的 Linux 机器在所有 Azure 实例中占比超过一半，如果 Linux 用户使用了如下但不仅限于这些服务/工具则面临风险：

除了 Azure 云客户外，由于OMI可独立安装在 Linux 机器上且经常用于本地，因此微软其他客户也受影响。

OMI 是一款由微软资助和 The Open Group 协作的开源项目。从本质上来讲，它是 UNIX/Linux 系统的 Windows 管理寄出设施 (WMI)。开源的 Linux 是现代 web所选择的操作系统，在近年来主宰了 Azure。

OMI 可使用户在环境中收集数据并同步配置，广泛用于各种 Azure 服务中，包括 OMS、Azure Insights、Azure Automation 等。

如用户启用了任意这些流行服务，OMI 就会被静默安装在虚拟机上，以可能存在的最高权限运行。而这些均无需获得用户的明确同意或知情。用户只要在安装过程中点击同意日志收集就在毫不知情的情况下选择了这一选项。

由于 Azure 并未公开任何关于 OMI 的文档，因此多数客户并未听说过它也并未意识到攻击面就存在自己的环境中。

OMI 代理以最高权限作为 root 运行。任何用户使用 UNIX 套接字或在配置为允许外部访问时通过 HTTP API 即可与 OMI 通信。结果研究人员发现的这些漏洞可导致外部用户或低权限用户在目标机器上远程执行代码或提升权限。

在这四个漏洞中，三个是提权漏洞，可使攻击者在安装了 OMI 的机器上获得最高权限。攻击者常使用这类漏洞用于复杂的攻击链中。另外一个是CVSS评分为9.8的 RCE 漏洞 (CVE-2021-38647)，可被攻击者用于获得目标 Azure 黄静的初始访问权限并在其中横向移动。

被暴露的 HTTPS 端口是恶意人员的圣杯。如下图所示，仅需简单的exploit，他们即可获得对新目标的访问权限，以最高权限执行命令并可能扩散到新的目标机器。

CVE-2021-38647 是一个在20世纪能见到的教科书级RCE漏洞，在2021年仍然还能出现非常不同寻常而且还能导致数百万终端暴露。通过一个数据包，攻击者只需删除认证标头就能成为远程机器的 root 用户。一切如此简单。

简单的条件语句编程错误加上未初始化认证结构，任何不具有授权标头的请求就可使权限默认为 uid=0、gid=0，而这就是root身份。

当 OMI 将 HTTPS 管理端口暴露在外部时（5986/5985/1270），就可导致远程接管。当独立安装和在 Azure Configuration Management 或 System Center Operations Manager (SCOM) 中时这就是默认配置。幸运的是，其他 Azure 服务器（如 Log Analytics）并未暴露该端口，因此在这些情况下范围仅限于本地提权。

如下图表说明了当在没有授权标头的情况下发布命令执行请求时，OMI 的异常行为：

1、认证标头中有效密码的正常流：OMICLI向远程 OMI 实例发布 HTTP 请求，传递授权标头中的登录信息。

2、传递没有认证标头的命令时的利用流：意外发生！即使没有认证标头，OMI 服务器也信任该请求，并导致完美的 RCE 出现：单个数据包即可统治所有！

（1）  开源软件是供应链风险吗？

社区使用且被数千名专家审计的开源软件要比专有软件安全得多。然而，如使用不但给，则毫无疑问开源软件会成为风险来源。

开源的好处之一是便于开发人员从不同项目获取代码，和其它开源以及专有软件混合。这就导致恶意开源代码可出现在数量庞大的产品和服务中，不可避免地成为“单点失败”。

由于客户不清楚所使用的服务后台中运行的是什么性质的代码，因此仍然面临风险和不知情的情况。

（2）  云中存在更多的“秘密代理”。

OMI 仅仅是预装且静默部署在云环境中的“秘密”软件代理之一。需要了解的是这些代理不仅存在于 Azure 中还存在于 AWS 和 GCP 中。希望大家能意识到在云中以最高权限运行的未知代理带来的风险，尤其是尚未更新至最新版 OMI 的 Azure 客户。研究社区应继续审计 OMI 并报告可能存在类似代理的问题。

微软已发布打补丁版本 OMI 1.6.8.1。由于 Azure app 中不存在内置的自动更新机制，因此所有Azure Linux 虚拟机仍然易受攻击，除非所有用户手动更新客户端，但由于用户不知道自己系统中安装了该 app，因此手动安装很可能无法执行。

原文链接：

https://therecord.media/microsoft-fixes-omigod-bugs-in-secret-azure-app/

https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution

题图：Pixabay License

奇安信代码卫士原创出品。转载请注明 “转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~