Blog de McAfee Organization Defender | Vulnerabilidad OMIGOD que abre la puerta a la botnet Mirai


Este mes, Microsoft lanzó parches para 86 vulnerabilidades. Si bien muchas de estas vulnerabilidades son importantes y deben repararse lo antes posible, existe una vulnerabilidad crítica que McAfee Organization desea llamar su atención de inmediato debido a la simplicidad de lo que se requiere para explotar y la evidencia de que ya se está explotando. intentó.

La lista de fallas, denominada colectivamente OMIGOD, afecta a un agente de software package llamado Open Management Infrastructure que se implementa automáticamente en muchos servicios de Azure:

CVE-2021-38647 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código de infraestructura de gestión abierta

CVE-2021-38648 (Puntaje CVSS: 7.8) – Infraestructura de administración abierta Elevación de vulnerabilidad de privilegios

CVE-2021-38645 (Puntaje CVSS: 7.8) – Infraestructura de administración abierta Elevación de vulnerabilidad de privilegios

CVE-2021-38649 (Puntaje CVSS: 7.) – Infraestructura de administración abierta Elevación de vulnerabilidad de privilegios

Los clientes de Azure en máquinas Linux, incluidos los usuarios de Azure Automation, Azure Automated Update, Azure Functions Administration Suite (OMS), Azure Log Analytics, Azure Configuration Administration y Azure Diagnostics, corren el riesgo de ser explotados. OMI también se puede instalar fuera de Azure en cualquier sistema Linux local.

La ejecución remota de código es extremadamente very simple y todo lo que se requiere es eliminar el encabezado de autenticación y el acceso a la raíz está disponible de forma remota en todas las máquinas. Con esta vulnerabilidad, los atacantes pueden obtener acceso inicial al entorno de Azure de destino y luego moverse lateralmente dentro de él.

Campaña: múltiples CVE que afectan al agente de Azure OMI denominado OMIGOD

Fuente: MVISION Insights

Varios investigadores de seguridad compartieron pruebas de ataques de concepto sobre la explotación de las vulnerabilidades y, poco después, los actores imitaron los esfuerzos y recientemente se ha visto explotar activamente CVE-2021-38647 a través de actividades de botnet.

Antecedentes de Mirai Botnet y campañas relacionadas

Fuente: MVISION Insights

Una de esas redes de bots es Mirai, que está buscando activamente vulnerabilidades, incluidas las identificadas como OMIGOD, que permitirán a los operadores infectar un sistema y propagarse a los dispositivos conectados. Si la botnet Mirai explota una máquina susceptible, los operadores eliminarán una de las versiones de la botnet Mirai DDoS y cerrarán el puerto 5896 en World-wide-web para evitar que otros atacantes exploten la misma caja. Informes de explotación exitosa de OMIGOD han informado que se implementan criptomineros en los sistemas afectados.

Cobertura empresarial de McAfee y mitigaciones recomendadas

Microsoft no tiene un mecanismo de actualización automática Se requiere una actualización guide de los agentes para evitar la explotación. Microsoft ha lanzado una versión parcheada de OMI (1.6.8.1), los pasos sugeridos por Microsoft se proporcionan en el siguiente enlace.

CVE-2021-38647 – Vulnerabilidad de ejecución remota de código de infraestructura de administración abierta

McAfee Organization continuará actualizando el siguiente documento de KB con la cobertura del producto CVE-2021-38647 suscríbase a KB para recibir notificaciones de actualizaciones.

Cobertura de McAfee Organization para CVE-2021-38647 Vulnerabilidad de ejecución remota de código

Identificación de sistemas vulnerables con el agente OMI

Para identificar sistemas vulnerables en su entorno, McAfee Company recomienda buscar sistemas que escuchen en los puertos 5986. El puerto 5986 es el puerto típico que utiliza el agente OMI. Inteligencia industrial del Grupo de investigación Wiz también observa los sistemas vulnerables que escuchan en los puertos 5985 y 1270 no predeterminados. Se recomienda limitar el acceso a la red a esos puertos de inmediato para protegerse de la vulnerabilidad de RCE.

Detectar actividad de amenazas con MVISION Insights

MVISION Insights proporciona inteligencia de amenazas actualizada periódicamente para los intentos continuos de explotar OMIGOD. Los «Múltiples CVE que afectan al agente de Azure OMI denominado OMIGOD”Tendrá actualizadas las técnicas de Prevalencia World wide, COI y MITRE en la naturaleza. Los IOC dentro de MVISION Insights pueden ser utilizados por la función de búsqueda en tiempo genuine de MVISION Endpoint Detection & Response (EDR) para buscar proactivamente todo su entorno de endpoint de Linux para la detección.

Prevalencia global de la explotación de OMIGOD Fuente: MVISION Insights

Indicadores de compromiso relacionados con la explotación de OMIGOD Fuente: MVISION Insights

Bloqueo de puertos con McAfee ENS Firewall

Las reglas de firewall de McAfee ENS permitirán la creación de reglas personalizadas para bloquear puertos específicos hasta que el agente OMI pueda actualizarse a la versión resuelta Consulte la captura de pantalla a continuación para ver una regla de muestra para bloquear los puertos asociados con el agente OMI.

Creación de regla de bloqueo para puertos de agente OMI en McAfee ENS Firewall

Localización de sistemas que ejecutan OMI con MVISION EDR

La función de búsqueda en tiempo true en MVISION EDR permite la búsqueda de todo su entorno Linux utilizando varios parámetros diferentes para identificar sistemas que podrían ser objetivos potenciales.

Las consultas predefinidas a continuación se pueden ejecutar para ubicar los sistemas que escuchan en los puertos indicados para el agente OMI y para verificar la versión del agente OMI instalado en su punto closing.

Procesos y el nombre de host CurrentFlow y HostInfo donde el nombre de los procesos es igual a omiengine

Nombre de host de Application y HostInfo donde el nombre de visualización del software contiene om

Ubicación de las versiones de computer software instaladas de OMI en puntos finales de Linux en MVISION EDR

Monitoreo del tráfico y la información del usuario de OMI en MVISION EDR

Descubrimiento de vulnerabilidades y auditorías de configuración con MVISION CNAPP

Otro método para identificar sistemas vulnerables en su infraestructura en la nube es ejecutar un escaneo de vulnerabilidades bajo demanda y crear auditorías de configuración de seguridad con MVISION Cloud Native Application Protection Platform (CNAPP). Vea a continuación varios ejemplos del uso de las funciones CWPP y CSPM para localizar sistemas vulnerables por número CVE y detectar el uso de la cuenta «raíz» en Microsoft Azure.

Ejecución de análisis de vulnerabilidades para identificar sistemas vulnerables mediante CVE

Establecer auditorías de configuración de seguridad para recibir alertas sobre el acceso raíz en Microsoft Azure





Enlace a la noticia authentic