Saltar al contenido

La botnet Mirai aprovecha vulnerabilidad OMIGOD para atacar Azure

La botnet Mirai aprovecha vulnerabilidad OMIGOD para atacar Azure

Atacantes han comenzado a valerse de la recientemente descubierta OMIGOD, una vulnerabilidad que afecta al OMI presente en Azure, que responde a las siglas Open Management Infrastructure y cuyo módulo permite gestionar remotamente los sistemas.

Se está utilizando la botnet Mirai, todavía activa, para lanzar ataques contra servicios basados en infraestructura Azure. Aunque Microsoft ya ha parcheado la vulnerabilidad hace más de una semana,

Vulnerabilidades conocidas como OMIGOD

La mayoría de organizaciones con sistemas basados en Azure son vulnerables a OMIGOD. Estamos hablando de las descubiertas por el equipo de Wiz Research, que incluyen las siguientes:

Open Source OMI quivale en UNIX/Linux al WMI o Windows Management Instrumentation, y se despliega en sistemas virtuales de Azure basados en Linux con frecuencia, para que los administradores conecten de forma sencilla en remoto y recojan estadísticas de uso.

El principal problema es una falta de conocimiento acerca de como funciona esta característica, lo que impide saber las consecuencias de un uso no autorizado. Se tiende a ignorar que, cuando se despliegan VM basadas en Linux en entornos productivos, esta característica funciona con los privilegios más elevados.

Además, los expertos destacan la falta de documentación de Microsoft al respecto de cómo funciona este módulo, como se monitoriza y se actualiza.

La botnet Mirai persigue este fallo

Los dueños de la popular (que no querida) red de bots conocida como Mirai, no han tardado en verle el potencial a este conjunto de vulnerabilidades, sobre todo si consideramos que algunas, como la elevación de privilegios, son extremadamente fáciles de implementar.

Concretamente están buscando sistemas Azure basados en Linux, vulnerables a CVE-2021-38647, descubierto a mediados de Septiembre, según confirman varias fuentes como BadPackets o GreyNoise.


Un atacante sin autenticar podría explotar el CVE-2021-38647 enviando una solicitud modificada para un destinatario vulnerable, sobre un puerto públicamente accesible de administración 5986, 5985 y 1270. En caso de tener éxito, el atacante obtiene permisos root en la máquina remota.

Como parte de la campaña de Mirai para aprovechar esta vulnerabilidad, lo que hacen los atacantes es descargar una versión de Mirai DDoSbotnet y después cerrar el puerto 5896 a internet, para impedir que otros actores hagan lo mismo.

Más detalles.

Categorías

Noticias

Etiquetas

, , ,

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: