Mirai僵尸网络正在积极利用已知的关键漏洞CVE-2021-38647

据阿卡迪亚集团安全运营中心负责人凯文·博蒙特（Kevin Beaumont）介绍，Mirai僵尸网络正在积极利用已知的关键漏洞CVE-2021-38647，该漏洞是微软Azure Linux开放管理基础设施框架中被称为OMIGOD的四分之一漏洞的一部分。

"Mirai 僵尸网络正在利用#OMIGOD - 他们放弃 Mirai DDoS 僵尸网络的版本，然后关闭 5896 （OMI SSL 端口）从互联网上，以阻止其他人利用同一个盒子，"博蒙特推特周五。

微软在周二修补了CVE-2021-38647，但博蒙特指出，有15,700个Azure服务器容易受到攻击。

"肖丹搜索找到这些（他们总是使用端口 + 云应用程序证书），" 他在推特上说。"有 15,700 个在线，没有 auth Rce，包括美国政府等主机，这看起来像一个大问题，等待你降落在 vnets 后面。

微软周四发布了有关此漏洞的附加指南，并建议立即应用该补丁。

Mirai 僵尸网络在 2016 年声名狼藉，当时恶意软件被用来破坏域名服务器提供商 Dyn，并主要攻击越南、巴西、美国、中国和墨西哥的闭路电视摄像机（参见：僵尸网络军队的"多达 100,000"物联网设备中断）。

云安全公司Wiz的研究人员报告说，当客户在云中设置 Linux 虚拟机器并启用某些 Azure 服务时，这种无处不在但鲜为人知的软件代理（称为开放管理基础设施（OMI））会在客户不知情的情况下自动部署。

研究人员说，除非应用修补程序，否则攻击者可以轻松地利用这四个OMIGOD漏洞升级为根源特权，并远程执行恶意代码，例如加密文件以索取赎金。

美国网络安全和基础设施安全局周四发布警报，重申微软周二的安全建议，即"客户必须更新其云和本地部署的易受攻击扩展，因为更新可用"的远程代码执行漏洞 CVE-2021-38647 影响 Azure Linux OMI 框架。

构成OMIGOD的其他三个漏洞是CVE-2021-38645、CVE-2021-38649和CVE-2021-38648。

Wiz的研究人员将这一缺陷描述为"教科书上的RCE漏洞"，人们预计在20世纪90年代就会看到这种漏洞，他们指出，在2021年出现这种漏洞是非常不寻常的。

"只需删除身份验证头，攻击者就可以在远程计算机上生根。任何没有授权头的请求都有其特权默认为 uid=0，gid=0，这是根，"他们说。

根据Horiza3.a1，一家由美国国防部队老兵于2019年成立的安全公司，至少有15，000台Azure服务器仍然可被开发，该公司在GitHub上发布了CVE-2021-38647的概念验证漏洞。

微软确认，V1.6.8-1 以下的所有 Azure Linux OMI 版本都容易受到此 RCE 漏洞的影响，但将 CVE-2021-38647 列为"不太可能"被利用的版本。

研究人员说，由于某些 Azure 产品暴露了 HTTP/S 端口（通常是端口 5986/5985/1270）的操作，因此很容易利用此漏洞，而 Wiz 研究人员确认，当该端口作为独立安装并在 Azure 配置管理或系统中心运营经理中安装时，OMI 是默认值。

为了检查 VM 管理扩展是否受到 CVE-2021-38647 的影响，Microsoft 建议客户使用Azure 门户或 CLI，或在MSRC 博客中查看受影响的版本列表，其中更新的扩展可供手动下载。

微软表示，目前，DSC和SCOM只能提供更新，但其他更新将在周六提供。

作为第二层保护，Microsoft 建议其客户限制访问暴露 OMI 端口的 Linux 系统（TCP 5985、5986 和 1207），并确保"VM 部署在网络安全组内或周边防火墙后面"。它澄清了端口 5985 和 5986 也用于在 Windows 上进行电源壳重燃，但不受这些漏洞的影响。

微软、Wiz 研究人员和 CISA 都建议用户实施这些补救措施。但是在一条微博中，博蒙特说微软"未能在Azure更新自己的系统，在新的VM部署上安装修补版本，"他补充说，"老实说，这是下巴下降。

Beaumont 在另一条微博中补充说，漏洞的连锁反应已经显而易见，称这些漏洞是"壮观的云安全问题"。

是的，这是一个壮观的云安全问题，它也延伸到 Azure Gov 云服务 - 这是一个自我，我不知道 MS 如何上市而不首先解决问题：这是超级 /不/信心激励作为一个客户，让我想知道什么骨架潜伏。https://t.co/nno0eBKaIK

• 凯文·博蒙特（@GossiTheDog） 2021年9月16日

这是微软在数周内在流行的 Azure 产品中出现的第三个安全漏洞实例。今年8月，微软披露了Azure宇宙DB收购漏洞，称该漏洞影响了30%的Azure客户（见：Azure数据库服务缺陷可能影响数千家公司）。

9月初，这家科技巨头披露了影响 Azure 容器实例的 Azurescape 漏洞的详细信息，并可能允许用户在 ACI 服务中访问其他客户的信息（参见：微软警报：Azure 容器实例中的严重缺陷）。