Af Eskil Sørensen, 20/09/21
Få dage efter at Microsoft gjorde verden bekendt med den såkaldte OMIGOD-sårbarhed i Azure via den månedlige Patch Tuesday, er Mirai-botnet begyndt at udnytte fejlen til at kompromittere sårbare systemer.
Det skriver Security Affairs.
Der er tale om fire alvorlige sårbarheder, der samlet har fået betegnelsen OMIGOD, i softwareagenten Open Management Infrastructure (OMI). Det er denne, der kan udsætte Azure-brugere for angreb.
Fejlene har en score fra 7,0 til 9,8 på CVSS-skalaen og handler for den mest alvorliges vedkommende (CVE-2021-38647) om remote code execution, mens det tre andre vedrører eskalering af privilegier (CVE-2021-38648, CVE-2021-38645 og CVE-2021-38649). Alle fire kan udnyttes på sårbare Linux virtuelle maskiner, der kører på Azure.
Som det som oftest sker efter Patch Tuesday, hvor både løsninger til håndtering af sårbarheder, typisk opdateringer, og selve sårbarhederne afsløres, går trusselsaktører straks i gang med at scanne internettet efter sårbare installationer. Det er også sket i dette tilfælde, hvor researchere har opsnappet, at det er Mirai-botnettet, der er på jagt. Det vurderes, at tusinder af Azure-brugere og millioner af endpoints potentielt er i risiko for angreb.
Microsoft har udsendt en advisory, hvor kunder opfordres til at opdatere sårbare udvidelser til deres Cloud-implementeringer, efterhånden som opdateringerne bliver tilgængelige, jvf. en tidsplan, som Microsoft Security Response Center-teamet har udsendt.
I praksis betyder det, at trusselsaktører med tidsplanen i hånden har et redskab til at finde ud af, hvor de skal starte først.
Links:
https://securityaffairs.co/wordpress/122322/hacking/omigod-mirai-botnet.html