Des vulnérabilités dans OMI menacent les machines virtuelles Linux sur Microsoft Azure

L’agent Open Management Infrastructure et ses quatre vulnérabilités sont automatiquement installés sur les machines virtuelles Linux avec Microsoft Azure.

Les médias se font l’écho d’une pratique assez dangereuse sur Microsoft Azure, plus précisément lorsqu’un utilisateur crée une machine virtuelle Linux et autorise certaines services Azure, puisque la plateforme Azure installe automatiquement l’agent logiciel open-source Open Management Infrastructure (OMI) sur la machine. De plus, l’utilisateur n’en a pas connaissance.

Même si l’idée d’une installation secrète peut sembler terrible à première vue, celle-ci n’est pas si néfaste mis à part pour deux raisons. Tout d’abord, l’agent est vulnérable et on le sait. Ensuite, l’agent ne dispose pas d’un mécanisme de mise à jour automatique sur Azure. En attendant que Microsoft règle le problème de son côté, les organisations qui utilisent les machines virtuelles Linux sur Azure vont devoir passer à l’action.

Les failles de l’Open Management Infrastructure et leur exploitation

À l’occasion de son Patch Tuesday de septembre, Microsoft a publié des mises à jour de sécurité pour corriger quatre vulnérabilités dans l’agent Open Management Infrastructure. Une d’elles, CVE-2021-38647, permet l’exécution de code à distance (RCE) et est critique. Les trois autres, CVE-2021-38648, CVE-2021-38645 et CVE-2021-38649 peuvent être utilisées pour élever les privilèges (LPE) lors d’attaques à plusieurs étapes et après que les cybercriminels ont pénétré dans le réseau de la victime. Ces trois vulnérabilités ont un score CVSS élevé.

Lorsque les utilisateurs de Microsoft Azure crée une machine virtuelle Linux et autorise tout un ensemble de services, OMI (avec toutes ses failles) se déploie automatiquement dans le système. Ces services incluent notamment Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management et Azure Diagnostics. Une liste qui est loin d’être complète. L’agent Open Management Infrastructure possède déjà les privilèges les plus élevés dans le système, et comme ses tâches incluent notamment la collecte de statistiques et la synchronisation des paramètres de configuration, on peut généralement y accéder via Internet grâce à plusieurs ports HTTP, selon les services activés.

Par exemple, si le port d’écoute est 5986, les cybercriminels peuvent exploiter la vulnérabilité CVE-2021-38647 et exécuter le code à distance. Si l’OMI peut être géré à distance (via les ports 5986, 5985 ou 1270), toute personne externe peut exploiter cette même faille pour accéder à tout le voisinage réseau dans Azure. Les experts disent que cette faille est très facilement exploitable.

Pour le moment, aucune attaque n’a été signalée, mais avec toutes les informations disponibles et la facilité d’exploitation de ces vulnérabilités, il est fort probable que la situation change.

Comment vous protéger

Microsoft a publié les correctifs de ces quatre vulnérabilités. Par contre, l’OMI n’installe pas automatiquement les mises à jour donc vous devez vérifier manuellement pour voir quelle version est déployée sur votre machine virtuelle Linux. Si elle est postérieure à 1.6.8.1, mettez à jour l’agent Open Management Infrastructure. Pour savoir comment procéder, consultez la description de la vulnérabilité CVE-2021-38647.

Les experts recommandent également de restreindre l’accès réseau des ports 5985, 5986 et 1270 pour empêcher quiconque de lancer une attaque et d’exécuter un code à distance.

Conseils