Mirai ボットネットが Microsoft Azure の OMIGOD 脆弱性を積極的に悪用

Mirai Botnet Exploiting OMIGOD Azure Vulnerability

2021/09/18 DarkReading — 今週の初めに公開され、パッチが適用された Microsoft Azure の深刻なな脆弱性を、攻撃者たちがが悪用し始めていると、セキュリティ研究者が報告している。Wiz Research Team が発見した OMIGOD 脆弱性は、Azure の各種サービスに組み込まれ広く使われているが、あまり知られていないソフトウェア・エージェントであるOpen Management Infrastructure (OMI) に存在する。

この欠陥には、リモートコード実行の脆弱性 (CVE-2021-38647) と、権限昇格の脆弱性 ( CVE-2021-38648 CVE-2021-38645 CVE-2021-38649) が含まれる。
最新の情報によると、脆弱性 CVE-2021-38647 を持つ Azure Linux 仮想マシンを、攻撃者たちは Web 上でスキャンしているようだ。この状況は、セキュリティ研究者である Germán Fernández が、木曜日の夜に発見したものだ。その後、セキュリティ企業である Bad Packets と GreyNoise が、この活動を確認している。Fernández は、スキャンを実行する者には、Mirai ボットネットの運営者も含まれると指摘している。

認証されていないリモート攻撃者であっても、一般にアクセス可能なリモート管理 Port (5986/5985/1270) を介して、特別に細工したリクエストを脆弱なターゲットに送信することで、CVE-2021-38647 を悪用することが可能だ。これに成功すると、攻撃者はリモートマシンの root になることができる。

セキュリティ研究者である Kevin Beaumont が Twitter に書いたように、現在進行中の Mirai の活動の一環として、攻撃者は Mirai DDoSbotnet バージョンをドロップした後に、他の人が同じボックスを悪用するのを防ぐために、インターネットから Port 5896 を閉じている。また同氏は、自身のテスト・ボックスの1つが、暗号マイニングを展開している攻撃者に狙われたことを報告している。

この脆弱性 CVE-2021-38647 は、9月の Patch Tuesday にもあり、お隣のキュレーション・チームは 9月15日付で拾っていました。それと同時に、Wiz の “Secret” Agent Exposes Azure Customers To Unauthorized Code Execution で悪用が報道されていました。このブログでも、9月15日に「Microsoft Azure の OMIGOD 脆弱性はログ収集エージェントが原因?」をポストしていますので、よろしければ、ご参照ください。いろんな攻撃行動が検出されているようなので、パッチの確認が必要ですね。

%d bloggers like this: