Microsoft Azure の OMIGOD 脆弱性はログ収集エージェントが原因？

Critical Flaws Discovered in Azure App That Microsoft Secretly Installed on Linux VMs

2021/09/15 TheHackerNews — Microsoft は、９月の Patch Tuesday アップデートにおいて、Azure クラウド標的にした脆弱化されたシステムのリモート操作や、特権昇格などを引き起こす恐れのある４つのセキュリティ陥に対処した。これらの脆弱性は、Wiz の研究者が OMIGOD と総称しているものであり、多くのAzure サービスに自動的に導入されている Open Management Infrastructure という、あまり知られていないソフトウェア・エージェントに影響を与える。

• CVE-2021-38647 (CVSS : 9.8) – OMI Remote Code Execution
• CVE-2021-38648 (CVSS : 7.8) – OMI Elevation of Privilege
• CVE-2021-38645 (CVSS : 7.8) – OMI Elevation of Privilege
• CVE-2021-38649 (CVSS : 7.0) – OMI Elevation of Privilege

Open Management Infrastructure (OMI) は、Windows Management Infrastructure (WMI) に相当するオープンソースのソフトウェアであり、CentOS／Debian／Oracle Linux／Red Hat Enterprise Linux Server／SUSE Linux／Ubuntu などの Linux／UNIX システム向けに設計され、IT 環境全体の監視および、インベントリ管理、コンフィグレーション同期を実現する。

Azure Automation／Azure Automatic Update／Azure Operations Management Suite (OMS)／Azure Log Analytics／Azure Configuration Management／Azure Diagnostics などのユーザー、および、Linux マシンを使用している Azure ユーザーにとって、悪用される危険性が生じる。

Wiz のセキュリティ研究者である Nir Ohfeld は、「これらの一般的なサービスのいずれかを、ユーザーが有効にすると、OMI が仮想マシンにインストールされ、可能な限り高い権限で実行される。また、この処理は、ユーザーの明確な同意／認識なしに行われる。ユーザーはセットアップの際に、「ログ収集に同意する」をクリックするだけで、知らず知らずのうちにオプトインすることになる」と指摘している。

OMI は、Linux マシンに単独でインストールすることが可能であり、オンプレミスでも多用されるため、Azure クラウドの顧客に加えて、他の Microsoft 製品の顧客も影響を受ける。OMI エージェントは、最高の権限を持つ root として実行されるため、前述の脆弱性を悪用することで、外部の脅威アクターや低権限のユーザーが、標的のマシン上でリモートコードを実行することが可能になる。さらに、脅威となるアクターは、権限昇格も可能になるため。昇格した権限で高度な攻撃を仕掛けることができる。

この４つの欠陥のうち最も深刻なものは、HTTPS ポート 5986／5985／1270 などがインターネットに公開されている場合に発生する、リモートコード実行の脆弱性である。攻撃者は、対象となる Azur e環境にアクセスした後に、ネットワーク内を横方向へと移動できる。

Nir Ohfeld は、「この脆弱性は、90年代に見られた典型的なリモートコード実行であり、2021年になって、何百万ものエンドポイントを公開できるような、脆弱性が出現するのは極めて稀なことだ。たった１つのパケットで、認証ヘッダを削除するだけで、攻撃者はリモートマシンの root になることができる。それほど単純なことだ」と述べている。

この OMI は、クラウド環境にプレインストールされ、静かに展開される秘密のソフトウェア・エージェントの一例に過ぎない。このようなエージェントは、Azure だけではなく、Amazon Web Services や Google Cloud Platform にも存在していることに、留意する必要がある。

クラウドの設定ミスが、とんでもない結果を引き起こすという話が、このところ、あちらこちらで聞かれます。そして今回は、Open Management Infrastructure (OMI) という、IT 環境全体の監視／インベントリ管理／コンフィグレーションのためのオープンソース・エージェントに脆弱性があり、「ログ収集に同意する」をクリックするだけで、その脆弱性も含めてオプトインしてしまうという、話の流れのようです。今回は、OSS が対象だけに、普通に CVE がついていますが、Azure 本体の脆弱性であっても、CVE で管理してほしいなぁ・・・と思ってしまいます。