La botnet Mirai aprovecha vulnerabilidad OMIGOD para atacar Azure

Atacantes han comenzado a valerse de la recientemente descubierta OMIGOD, una vulnerabilidad que afecta al OMI presente en Azure, que responde a las siglas Open Management Infrastructure y cuyo módulo permite gestionar remotamente los sistemas.

Se está utilizando la botnet Mirai, todavía activa, para lanzar ataques contra servicios basados en infraestructura Azure. Aunque Microsoft ya ha parcheado la vulnerabilidad hace más de una semana,

Vulnerabilidades conocidas como OMIGOD

La mayoría de organizaciones con sistemas basados en Azure son vulnerables a OMIGOD. Estamos hablando de las descubiertas por el equipo de Wiz Research, que incluyen las siguientes:

• RCE o ejecución de código remoto CVE-2021-38647
• Escalado de privilegios CVE-2021-38648, CVE-2021-38645 y CVE-2021-38649

Open Source OMI quivale en UNIX/Linux al WMI o Windows Management Instrumentation, y se despliega en sistemas virtuales de Azure basados en Linux con frecuencia, para que los administradores conecten de forma sencilla en remoto y recojan estadísticas de uso.

El principal problema es una falta de conocimiento acerca de como funciona esta característica, lo que impide saber las consecuencias de un uso no autorizado. Se tiende a ignorar que, cuando se despliegan VM basadas en Linux en entornos productivos, esta característica funciona con los privilegios más elevados.

Además, los expertos destacan la falta de documentación de Microsoft al respecto de cómo funciona este módulo, como se monitoriza y se actualiza.

La botnet Mirai persigue este fallo

Los dueños de la popular (que no querida) red de bots conocida como Mirai, no han tardado en verle el potencial a este conjunto de vulnerabilidades, sobre todo si consideramos que algunas, como la elevación de privilegios, son extremadamente fáciles de implementar.

Concretamente están buscando sistemas Azure basados en Linux, vulnerables a CVE-2021-38647, descubierto a mediados de Septiembre, según confirman varias fuentes como BadPackets o GreyNoise.

The Azure "OHMIGOD" vulnerability (CVE-2021-38647) is increasing a good bit. ~10 IPs opportunistically exploiting the vuln across the internet this morning, ~80 now. Tags available to all GN users and customers now.

GNQL:

cve:CVE-2021-38647https://t.co/sbdxJxzrEd pic.twitter.com/7dyU213Pl1

— Andrew Morris (@Andrew___Morris) September 16, 2021

Un atacante sin autenticar podría explotar el CVE-2021-38647 enviando una solicitud modificada para un destinatario vulnerable, sobre un puerto públicamente accesible de administración 5986, 5985 y 1270. En caso de tener éxito, el atacante obtiene permisos root en la máquina remota.

Como parte de la campaña de Mirai para aprovechar esta vulnerabilidad, lo que hacen los atacantes es descargar una versión de Mirai DDoSbotnet y después cerrar el puerto 5896 a internet, para impedir que otros actores hagan lo mismo.

Más detalles.