Betreiber virtueller Linux-Maschinen in Azure-Cloud-Umgebungen sollten die Installation mehrerer Sicherheitsupdates sicherstellen. Unter bestimmten Voraussetzungen könnten Angreifer vier Lücken ausnutzen, um Schadcode mit Root-Rechten auszuführen. Die Lücken wurden von den Entdeckern OMIGOD getauft.

Laut einer Aussage von Microsoft werden mehr als die Hälfte aller Instanzen für Linux verwendet. Auf verwundbaren Systemen muss zudem einer der Services bzw. Tools Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management, Azure Diagnostics zum Einsatz kommen.

Der in vielen Azure-Services eingesetzte Software-Agent Open Management Infrastructure (OMI) bildet den Kern des Sicherheitsproblems: Der Agent wird nach Aufsetzen einer Linux-VM über Azure und Aktivierung einer der Services automatisch mit den höchstmöglichen Rechten aktiv. Entfernte Angreifer könnten dann etwa über eine von außen erreichbare HTTP API die vier Sicherheitslücken (CVE-2021-38645 "hoch", CVE-2021-38647 "kritisch", CVE-2021-38648 "hoch", CVE-2021-38649 "hoch") ausnutzen. Zudem ist mit einer simplen Anfrage ohne Authentication Header die Schadcodeausführung mit Root-Rechten möglich, wenn ein HTTPS-Port von außen erreichbar ist - so die Sicherheitsforscher in ihrem Bericht.

Da das Open-Source-Projekt OMI auch in anderer Software eingesetzt wird, seien neben Azure-Kunden auch andere Nutzer bedroht. Am Patchday wurden von Microsoft Sicherheitsupdates veröffentlicht. Abgesichert sei demnach die OMI-Version 1.6.8.1.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE