{"id":17610,"date":"2021-09-21T11:03:10","date_gmt":"2021-09-21T09:03:10","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17610"},"modified":"2021-09-21T11:03:10","modified_gmt":"2021-09-21T09:03:10","slug":"vulnerabilities-in-omi-azure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/vulnerabilities-in-omi-azure\/17610\/","title":{"rendered":"Des vuln\u00e9rabilit\u00e9s dans OMI menacent les machines virtuelles Linux sur Microsoft Azure"},"content":{"rendered":"

Les m\u00e9dias se font l\u2019\u00e9cho<\/a> d\u2019une pratique assez dangereuse sur Microsoft Azure, plus pr\u00e9cis\u00e9ment lorsqu\u2019un utilisateur cr\u00e9e une machine virtuelle Linux et autorise certaines services Azure, puisque la plateforme Azure installe automatiquement l\u2019agent logiciel open-source Open Management Infrastructure<\/em> (OMI) sur la machine. De plus, l\u2019utilisateur n\u2019en a pas connaissance.<\/p>\n

M\u00eame si l\u2019id\u00e9e d\u2019une installation secr\u00e8te peut sembler terrible \u00e0 premi\u00e8re vue, celle-ci n\u2019est pas si n\u00e9faste mis \u00e0 part pour deux raisons. Tout d\u2019abord, l\u2019agent est vuln\u00e9rable et on le sait. Ensuite, l\u2019agent ne dispose pas d\u2019un m\u00e9canisme de mise \u00e0 jour automatique sur Azure. En attendant que Microsoft r\u00e8gle le probl\u00e8me de son c\u00f4t\u00e9, les organisations qui utilisent les machines virtuelles Linux sur Azure vont devoir passer \u00e0 l\u2019action.<\/p>\n

Les failles de l\u2019Open Management Infrastructure et leur exploitation<\/h2>\n

\u00c0 l\u2019occasion de son Patch Tuesday de septembre, Microsoft a publi\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour corriger quatre vuln\u00e9rabilit\u00e9s dans l\u2019agent Open Management Infrastructure<\/em>. Une d\u2019elles, CVE-2021-38647<\/a>, permet l\u2019ex\u00e9cution de code \u00e0 distance<\/a> (RCE) et est critique. Les trois autres, CVE-2021-38648<\/a>, CVE-2021-38645<\/a> et CVE-2021-38649<\/a> peuvent \u00eatre utilis\u00e9es pour \u00e9lever les privil\u00e8ges (LPE)<\/a> lors d\u2019attaques \u00e0 plusieurs \u00e9tapes et apr\u00e8s que les cybercriminels ont p\u00e9n\u00e9tr\u00e9 dans le r\u00e9seau de la victime. Ces trois vuln\u00e9rabilit\u00e9s ont un score CVSS \u00e9lev\u00e9.<\/p>\n

Lorsque les utilisateurs de Microsoft Azure cr\u00e9e une machine virtuelle Linux et autorise tout un ensemble de services, OMI (avec toutes ses failles) se d\u00e9ploie automatiquement dans le syst\u00e8me. Ces services incluent notamment Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management <\/em>et Azure Diagnostics<\/em>. Une liste qui est loin d\u2019\u00eatre compl\u00e8te. L\u2019agent Open Management Infrastructure<\/em> poss\u00e8de d\u00e9j\u00e0 les privil\u00e8ges les plus \u00e9lev\u00e9s dans le syst\u00e8me, et comme ses t\u00e2ches incluent notamment la collecte de statistiques et la synchronisation des param\u00e8tres de configuration, on peut g\u00e9n\u00e9ralement y acc\u00e9der via Internet gr\u00e2ce \u00e0 plusieurs ports HTTP, selon les services activ\u00e9s.<\/p>\n

Par exemple, si le port d\u2019\u00e9coute est 5986, les cybercriminels peuvent exploiter la vuln\u00e9rabilit\u00e9 CVE-2021-38647 et ex\u00e9cuter le code \u00e0 distance. Si l\u2019OMI peut \u00eatre g\u00e9r\u00e9 \u00e0 distance (via les ports 5986, 5985 ou 1270), toute personne externe peut exploiter cette m\u00eame faille pour acc\u00e9der \u00e0 tout le voisinage r\u00e9seau dans Azure. Les experts disent que cette faille est tr\u00e8s facilement exploitable.<\/p>\n

\n

This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com\/iIHNyqgew4<\/a><\/p>\n

\u2014 Ami Luttwak (@amiluttwak) September 14, 2021<\/a><\/p><\/blockquote>\n