OMIGOD

これは4つの重大な脆弱性につけられた呼称です。

Azureで多くのサーバが稼働していますが、その半数以上はAzureLinuxだそうです。
で、このAzureLinuxの多くにインストールされているソフトウェアの一つに、Open Management
Infrastructure(OMI)というものがあります。
これは、複数のAzureの管理用サービスで使用される、ほとんどのUNIXシステムと最新のLinuxプラットフォームをサポートするIT管理用のソフトウェアサービスです。
次のツールまたはサービスのいずれかを実行しているLinuxマシンを使用しているすべてのAzureのサーバは、危険にさらされています。

  • Azure Automation
  • Azure Automatic Update
  • Azure Operations Management Suite (OMS)
  • Azure Log Analytics
  • Azure Configuration Management
  • Azure Diagnostics

ユーザーがこれらの人気のあるサービスのいずれかを有効にすると、OMIは仮想マシンにサイレントにインストールされ、可能な限り最高の特権で実行されます。
これは通常非常に便利ですが、サーバの利用者が明示的に管理できていない点に問題があるかもしれません。

で、OMIGODは、CVE番号で表現すると次の脆弱性となります。

  • CVE-2021-38647 – rootとして認証されていないRCE(重大度:9.8 / 10)
  • CVE-2021-38648 –特権昇格の脆弱性(重大度:7.8 / 10)
  • CVE-2021-38645 –特権昇格の脆弱性(重大度:7.8 / 10)
  • CVE-2021-38649 –特権昇格の脆弱性(重大度:7.0 / 10)

これらの脆弱性の悪用によって、初期アクセスの取得も横展開も可能になってしまいます。

現時点ではすでにこの脆弱性に対策できている新しいバージョンのOMIがリリースされています。
が、厄介なことに、この新しいバージョンのソフトウェアをAzure側で自動的に更新する機能は用意されていないのです。
更新するためにはサーバの管理者が手動で更新作業を実施する必要があります。
このツールが含まれているリポジトリをシステムに追加し、そのパッケージ群を管理するツールをインストールし、その後に更新です。

このツールは管理のためにポートのリスニングも実施しています。
このリスニングは標準ではなにもフィルタリングされていません。
ポート5985、5986、1270がこれに関連するものですので、これらのアクセス制御も必要になると思います。

自動的に手間なく簡単に、というのは通常歓迎されるのではないかと思います。
しかしときにはこういった特徴は安全性と同時には手に入らないこともあるのでしょうか。
ソフトウェアやサービスを提供する際には、その周辺にも気を配る必要があるということなのかもしれません。

参考記事(外部リンク):Microsoft fixes critical bugs in secretly installed Azure
Linux app

www.bleepingcomputer.com/news/microsoft/microsoft-fixes-critical-bugs-in-secretly-installed-azure-linux-app/