OMI güvenlik açıkları, Microsoft Azure üzerindeki Linux sanal makineleri tehdit ediyor

Dört güvenlik açığı bulunan Open Management Infrastructure aracısı, Microsoft Azure’daki Linux sanal makinelerine otomatik olarak yükleniyor.

Microsoft Azure’da, bir kullanıcı sanal bir Linux makine oluşturduğunda ve bazı Azure hizmetlerini etkinleştirdiğinde, Azure platformunun makineye Open Management Infrastructure (Açık Yönetimi Altyapısı – OMI) aracısını otomatik olarak yüklediği oldukça tehlikeli bir uygulamayla ilgili haberler çıktı. Kullanıcı ise bu uygulamadan habersiz.

Her ne kadar gizli olarak yapılan bir kurulum kulağa korkunç gelse de, şu iki sorun olmasaydı o kadar da kötü olmayabilirdi: Birincisi, aracıda bilinen güvenlik açıkları mevcut ve ikinci olarak da aracı, Azure’da otomatik güncelleme mekanizmasına sahip değil. Microsoft bu sorunu çözene kadar, Azure’da Linux sanal makineler kullanan kuruluşların aksiyon alması gerekiyor.

Open Management Infrastructure güvenlik açıkları ve saldırganların bunlardan faydalanma yolları

Eylül’deki Salı Yamasıyla Microsoft, Open Management Infrastructure aracısındaki dört güvenlik açığına yönelik güvenlik güncelleştirmeleri yayınladı. Bu dört açıktan biri olan CVE-2021-38647, uzaktan kod yürütülmesine (RCE) izin veriyor ve kritiktir önem derecesine sahip. Diğer üç açık, CVE-2021-38648, CVE-2021-38645 ve CVE-2021-38649 ise saldırganların bir kurbanın ağına önceden sızması halinde, çok aşamalı saldırılarda ayrıcalık yükseltme (LPE) için kullanılabiliyor. Bu üç güvenlik açığı CVSS’de yüksek önem derecesine sahip.

Microsoft Azure kullanıcıları bir Linux sanal makine oluşturup, bir dizi hizmeti etkinleştirdiğinde, güvenlik açıklarıyla birlikte OMI ile ilgili her şey sistemde otomatik olarak dağıtılıyor. Bu hizmetler arasında Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management ve Azure Diagnostics yer alıyor ve liste bu hizmetlerle sınırlı değil. Open Management Infrastructure aracısı tek başına sistemdeki en yüksek ayrıcalıklara sahiptir ve görevleri istatistik toplamayı ve yapılandırmaları eşitlemeyi içerdiğinden, etkinleştirilen hizmetlere bağlı olarak genellikle İnternet’ten çeşitli HTTP bağlantı noktaları aracılığıyla erişilebilir.

Örneğin dinleme portu 5986 ise saldırganlar, CVE-2021-38647 güvenlik açığından yararlanabilme potansiyeline sahiptir ve uzaktan kötü amaçlı kod yürütebilirler. Uzaktan yönetim için OMI mevcutsa (5986, 5985 veya 1270 numaralı portları), yabancılar Azure’daki tüm komşu ağlara erişmek için aynı güvenlik açığından yararlanabilir. Uzmanlara göre güvenlik açığından yararlanmak oldukça kolay.

https://twitter.com/amiluttwak/status/1437898746747097090

Şimdiye kadar, hiç bir büyük saldırı bildirilmedi ancak bu güvenlik açıklarından yararlanmanın ne kadar kolay olduğuna ilişkin birçok bilgi mevcut olduğundan, muhtemelen böyle bir saldırının gerçekleşmesi fazla zaman almayacaktır.

Kendinizi nasıl korursunuz?

Microsoft, dört güvenlik açığının hepsi için yamalar yayınladı. Ancak OMI her zaman otomatik olarak güncellenmediği için Linux sanal makinenizde hangi sürümün dağıtıldığını kontrol etmeniz gerekiyor. Eğer sürüm 1.6.8.1’den eskiyse, Open Management Infrastructure aracısını güncelleyin. Nasıl yapıldığını öğrenmek için CVE-2021-38647 güvenlik açığının açıklamalarına göz atın.

Uzmanlar ayrıca, birisi tarafından RCE çalıştırılmasını önlemek için 5985, 5986 ve 1270 numaralı portlara ağ erişiminin kısıtlanması tavsiyesinde bulunuyor.

İpuçları