关于Azure VM管理扩展中OMI漏洞的补充指南
最后更新日期:2021年10月5日(详见文末修订历史记录)
2021年9月14日,微软针对Open Management Infrastructure(OMI)框架中的三个权限提升漏洞(EoP)和一个无需认证的远程代码执行漏洞(RCE)发布了修复补丁,对应CVE编号分别为:CVE-2021-38645、CVE-2021-38649、CVE-2021-38648和CVE-2021-38647。OMI是一个开源基于Web的企业管理(WBEM)实现,用于管理Linux和UNIX系统。多个Azure虚拟机(VM)管理扩展使用此框架来协调Linux VM上的配置管理和日志收集。远程代码执行漏洞仅影响使用Linux管理解决方案(本地SCOM或Azure自动化状态配置或Azure期望状态配置扩展)并启用远程OMI管理的客户。本文提供额外指导并在受影响的Azure VM管理扩展中部署额外保护措施以解决这些问题。
哪些OMI版本存在漏洞?
所有低于v1.6.8-1的OMI版本均存在漏洞。
哪些PaaS服务受OMI漏洞影响?
对于任何在默认服务产品中使用易受攻击的Linux VM扩展的PaaS服务产品,微软已透明地为客户更新了受影响VM上的扩展。如果客户在其Azure VM或本地机器上安装了OMI或任何扩展,则需要遵循下表提供的指导。
如何确定哪些VM受这些漏洞影响?
使用以下列出的VM管理扩展的VM会受到影响。所有受影响的客户将直接收到通知。
客户可以使用以下方法之一识别其订阅中的受影响VM:
- 使用ASC查找Azure VM管理扩展中受OMI漏洞影响的机器 - Microsoft Tech Community
- 要识别易受攻击扩展的Azure VM,可利用Azure门户或Azure CLI,如本文所述。如果报告的扩展版本与下表中“修复的扩展版本”列出的版本匹配,则无需进一步操作。
- 要扫描Azure订阅中的易受攻击VM,请使用此处的脚本。此脚本还可使用upgradeOMI参数修补受影响的VM。
如何防范这些漏洞?
扩展更新:客户必须根据下表更新其云和本地部署中的易受攻击扩展。区域中的新VM在创建时即受到保护,不受这些漏洞影响。对于云部署,微软已跨Azure区域部署了扩展更新。自动扩展更新已透明修补,无需重启。客户应尽可能确保启用自动扩展更新。请参阅《Azure中VM和规模集的自动扩展升级》以评估自动更新配置。
所有使用OMI的扩展均有更新可用,以解决远程执行漏洞(RCE)和权限提升(EoP)问题。客户可以通过确保VM部署在网络安全组(NSG)内或外围防火墙后,并限制对暴露OMI端口(TCP 5985、5986和1270)的Linux系统的访问,来实施深度防御并防范RCE漏洞。请注意,端口5985和5986也用于Windows上的PowerShell远程处理,不受这些漏洞影响。有关为DSC和SCOM配置防火墙规则的更多信息,请参阅《Azure自动化网络配置详细信息》和《为Operations Manager配置防火墙》。
如何检测此漏洞是否被利用?
利用这些漏洞远程执行命令的攻击者将通过SCXcore服务运行命令。SCXcore提供程序在AIX 6.1及更高版本、HP/UX 11.31及更高版本、Solaris 5.10及更高版本以及大多数Linux版本(最早至RedHat 5.0、SuSE 10.1和Debian 5.0)上运行。SCX有一个名为ExecuteShellCommand的RunAsProvider。ExecuteShellCommand RunAsProvider将使用/bin/sh shell执行任何UNIX/Linux命令。
如果启用了auditd并正在收集execve日志,请查找从工作目录“/var/opt/microsoft/scx/tmp”运行的命令。 您还可以启用SCXadmin工具的日志记录。如果使用命令启用日志记录:’/opt/microsoft/scx/bin/tools/scxadmin -log-set all verbose’,您将在/var/opt/microsoft/scx/log/scx.log中看到命令。要查看正在执行的命令,请grep搜索Invoke_ExecuteShellCommand。
有关SCXadmin的更多详细信息,请参阅此处:《管理和配置UNIX - Linux代理 | Microsoft文档》。有关SCXcore的更多详细信息,请参阅GitHub存储库:microsoft/SCXcore: System Center Cross Platform Provider for Operations Manager (github.com)。
微软已为Azure Sentinel发布了额外的检测指导和保护措施《使用Azure Sentinel狩猎OMI漏洞利用》。为了进一步改善客户的安全保护,微软将在调查进展中继续为客户提供额外保护。微软还向主要安全软件提供商提供了上述检测指导。安全软件提供商可以使用此检测指导通过其安全软件或设备(如防病毒软件、基于网络的入侵检测系统或基于主机的入侵防御系统)为客户提供更新的保护。有关这些安全提供商的更多信息,请参阅《微软主动保护计划》。
Azure Marketplace VM是否受这些漏洞影响?
微软已确定一部分Azure Marketplace VM安装了易受攻击版本的OMI框架。微软已向使用受影响VM映像的客户发布了Azure服务健康通知,以提供修复其资源的指导。微软还通知了Marketplace发布者,为包含更新后OMI框架的产品发布新版本的VM映像。
微软的工程团队正在遵循安全部署实践,并会定期更新此指南,提供更新说明和扩展更新可用性的链接。
请使用滚动条查看完整表格。
| 扩展/包 | 部署模型 | 漏洞暴露 | 易受攻击的扩展版本 | 修复的扩展版本 | 更新的扩展可用性 |
|---|---|---|---|---|---|
| OMI作为独立包 | 本地/云 | 远程代码执行 | OMI模块版本1.6.8.0或更低 | OMI版本v1.6.8-1 | 手动在此处下载更新 |
| System Center Operations Manager (SCOM) | 本地 | 远程代码执行 | OMI版本1.6.8.0或更低(OMI框架用于Linux/Unix监控) | OMI版本:1.6.8-1 | 手动在此处下载更新 |
| Azure自动化状态配置,DSC扩展 | 云 | 远程代码执行 | Linux DSC代理版本:2.71.X.XX(除固定版本或更高版本外)2.70.X.XX(除固定版本或更高版本外)3.0.0.1 2.0.0.0 | Linux DSC代理版本:2.71.1.25 2.70.0.30 3.0.0.3 | 微软已完成更新部署。持续报告为易受攻击的VM:使用此处说明手动更新 |
| Azure自动化状态配置,DSC扩展 | 本地 | 远程代码执行 | OMI版本低于v1.6.8-1(OMI框架是DSC代理的先决条件安装) | OMI版本:1.6.8-1 | 使用此处说明手动更新OMI。 |
| Log Analytics代理 | 本地 | 本地权限提升 | Linux OMS代理GA v1.13.39或更低 | Linux OMS代理GA v1.13.40-0 | 使用此处说明手动更新 |
| Log Analytics代理 | 云 | 本地权限提升 | Linux OMS代理GA v1.13.39或更低 | Linux OMS代理GA v1.13.40-0 | 微软已完成更新部署。持续报告为易受攻击的VM:使用此处说明手动更新 |
| Azure诊断 (LAD) | 云 | 本地权限提升 | LAD v4.0.0-v4.0.5 LAD v3.0.131及更早版本 | LAD v4.0.15和LAD v3.0.135 | 微软已完成更新部署。 |
| Azure自动化更新管理 | 云 | 本地权限提升 | Linux OMS代理GA v1.13.39或更低 | Linux OMS代理GA v1.13.40-0 | 微软已完成更新部署。持续报告为易受攻击的VM:使用此处说明手动更新 |
| Azure自动化更新管理 | 本地 | 本地权限提升 | Linux OMS代理GA v1.13.39或更低 | Linux OMS代理GA v1.13.40-0 | 使用此处说明手动更新 |
| Azure自动化 | 云 | 本地权限提升 | Linux OMS代理GA v1.13.39或更低 | Linux OMS代理GA v1.13.40-0 | 微软已完成更新部署。持续报告为易受攻击的VM:使用此处说明手动更新 |
| Azure自动化 | 本地 | 本地权限提升 | Linux OMS代理GA v1.13.39或更低 | Linux OMS代理GA v1.13.40-0 | 使用此处说明手动更新 |
| Azure安全中心 | 云 | 本地权限提升 | Linux OMS代理GA v1.13.39或更低 | Linux OMS代理GA v1.13.40-0 | 微软已完成更新部署。 |
| Azure Sentinel | 云 | 本地权限提升 | Linux OMS代理GA v1.13.39或更低 | Linux OMS代理GA v1.13.40-0 | 微软已完成更新部署。 |
| 容器监控解决方案 | 云 | 本地权限提升 | 参见注1 | 参见注2 | 更新的容器监控解决方案Docker映像在此处可用 |
| Azure Stack Hub | 本地 | 本地权限提升 | Azure Monitor,更新和配置管理受影响版本:1.8 1.8.11 1.12 1.12.17 1.13.27 1.13.33 | Azure Monitor,更新和配置管理 1.14.02 | 新扩展版本通过Azure Stack Hub市场提供。使用此处说明手动更新 |
| Azure Stack Hub | 本地 | 本地权限提升 | 适用于Linux虚拟机的Microsoft Azure诊断扩展受影响版本:3.0.111 3.0.121 | 适用于Linux虚拟机的Microsoft Azure诊断扩展 3.1.135 | 新扩展版本通过Azure Stack Hub市场提供。使用此处说明手动更新 |
| Azure HDInsight | 云 | 本地权限提升 | 运行Ubuntu 16.0.4的HDInsight集群客户或启用了Azure Monitor for HDInsight集群集成的客户易受权限提升漏洞影响,OMI框架版本1.6.8.0或更低 | OMI框架v1.6.8-1 | 自动更新已完成。客户配置阻止更新的情况下,客户必须在每个集群节点上运行以下脚本来应用更新。 |
请使用滚动条查看完整表格。
注1:容器监控解决方案Docker映像的SHA ID与sha256:12b7682d8f9a2f67752bf121029e315abcae89bc0c34a0e05f07baec72280707不同 注2:修复版本的SHA ID:sha256:12b7682d8f9a2f67752bf121029e315abcae89bc0c34a0e05f07baec72280707
修订历史记录:
- 修订1.0 2021年9月16日:信息发布。
- 修订1.1 2021年9月17日:更新了受影响的软件,澄清了客户如何确定哪些VM受这些漏洞影响,以及客户可以采取哪些措施来防范这些漏洞。
- 修订1.2 2021年9月18日:添加了检测指导。
- 修订1.3 2021年9月19日:更新了Azure Monitor、更新和配置管理Azure Stack Hub扩展的发布日期。
- 修订1.4 2021年9月20日:更新了Azure诊断 (LAD) 的版本号,并添加了Azure Stack Hub新更新可用的信息。
- 修订1.5 2021年9月21日:删除了“如何确定哪些VM受这些漏洞影响?”部分中的第一个项目符号。
- 修订1.6 2021年9月22日:更新了受影响的软件表,包括HDInsight、Azure StackHub以及自动更新启用的日期。
- 修订1.7 2021年9月24日:宣布发布Azure自动化状态配置、DSC扩展、Log Analytics代理、Azure自动化更新管理、Azure自动化、Azure安全中心、Azure Sentinel和Azure Stack Hub的多个更新和部署。
- 修订1.8 2021年9月30日:更新以反映微软自动更新过程的完成。
- 修订1.0 2021年10月5日:更新了Azure Stack Hub(本地)的Azure Monitor、更新和配置管理的版本号为1.14.02。