Estos días se difundió la noticia de una práctica bastante peligrosa en Microsoft Azure, en la cual cuando un usuario crea una máquina virtual Linux y habilita ciertos servicios de Azure, la plataforma Azure instala automáticamente el agente Open Management Infrastructure (OMI) en la máquina sin que el usuario se percate.
Aunque una instalación sigilosa puede sonar terrible a simple vista, en realidad no sería tan mala si no fuera por dos problemas: primero, este agente presenta vulnerabilidades conocidas y, segundo, no cuenta con un mecanismo de actualización automática en Azure. Hasta que Microsoft resuelva este problema, las organizaciones que utilizan máquinas virtuales Linux en Azure deberán tomar medidas.
Las vulnerabilidades en Open Management Infrastructure y cómo los atacantes pueden explotarlas
El martes de parches de septiembre, Microsoft publicó actualizaciones de seguridad para cuatro vulnerabilidades en Open Management Infrastructure. Una de ellas, CVE-2021-38647, permite la ejecución remota de código (RCE) y es grave, y las otras tres, CVE-2021-38648, CVE-2021-38645 y CVE-2021-38649, se pueden usar para la escalada de privilegios (LPE) en ataques de múltiples etapas cuando los atacantes han accedido a la red de una víctima con anticipación. Estas tres vulnerabilidades tienen una puntuación alta en la CVSS.
Cuando los usuarios de Microsoft Azure crean una máquina virtual Linux y habilitan una serie de servicios, OMI (con sus vulnerabilidades y todo lo demás) se implementa en el sistema automáticamente. Los servicios incluyen Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management y Azure Diagnostics, una lista nada exhaustiva. El agente de Open Management Infrastructure por sí solo contiene los privilegios más altos dentro del sistema y, debido a que sus tareas incluyen la recopilación de estadísticas y la sincronización de los ajustes, generalmente queda accesible desde Internet a través de varios puertos HTTP, según los servicios habilitados.
Por ejemplo, si el puerto de escucha es 5986, los atacantes podrían aprovechar la vulnerabilidad CVE-2021-38647 y ejecutar código malicioso en remoto. Si el OMI está disponible para administración remota (a través del puerto 5986, 5985 o 1270), los externos pueden aprovechar la misma vulnerabilidad para obtener acceso a todo el entorno de la red en Azure. Los expertos afirman que la vulnerabilidad es muy fácil de explotar.
This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com/iIHNyqgew4
— Ami Luttwak (@amiluttwak) September 14, 2021
Hasta el momento, no se han reportado ataques en activo, pero dada la gran cantidad de información disponible sobre lo fácil que sería explotar estas vulnerabilidades, probablemente no pasará mucho tiempo hasta que aparezcan.
Cómo puedes protegerte
Microsoft publicó parches para las cuatro vulnerabilidades. Sin embargo, OMI no siempre se actualiza automáticamente, por lo que deberás comprobar qué versión está implementada en tu máquina virtual Linux. Si es anterior a 1.6.8.1, actualiza el agente Open Management Infrastructure. Para hacerlo, consulta la descripción de la vulnerabilidad CVE-2021-38647.
Los expertos también recomiendan restringir el acceso a la red en los puertos 5985, 5986 y 1270 para evitar que alguien ejecute código en remoto.