关于Azure VM管理扩展中OMI漏洞的额外指南
最后更新于2021年10月5日:请查看文末的修订历史以了解变更情况。
2021年9月14日,Microsoft发布了针对Open Management Infrastructure (OMI)框架中三个权限提升(EoP)漏洞和一个未经身份验证的远程代码执行(RCE)漏洞的修复:分别为CVE-2021-38645、CVE-2021-38649、CVE-2021-38648和CVE-2021-38647。Open Management Infrastructure (OMI)是一个开源的基于Web的企业管理(WBEM)实现,用于管理Linux和UNIX系统。多个Azure虚拟机(VM)管理扩展使用此框架来协调Linux VM上的配置管理和日志收集。远程代码执行漏洞仅影响使用启用远程OMI管理的Linux管理解决方案(本地SCOM或Azure Automation State Configuration或Azure Desired State Configuration扩展)的客户。今天,我们提供额外指南,并在受影响的Azure VM管理扩展中推出额外保护措施以解决这些问题。
哪些版本的OMI易受攻击?
所有低于v1.6.8-1的OMI版本均易受攻击。
哪些PaaS服务受OMI漏洞影响?
对于任何使用易受攻击的Linux VM扩展作为默认服务产品一部分的PaaS服务产品,Microsoft已透明地为客户更新了受影响VM上的扩展。如果客户在其Azure VM或本地机器上安装了OMI或任何扩展,他们需要按照下表提供的指南操作。
如何确定哪些VM受这些漏洞影响?
使用以下VM管理扩展的VM受到影响。所有受影响的客户将直接收到通知。
要识别其订阅中的受影响VM,客户可以使用以下方法之一:
- 使用ASC查找受Azure VM管理扩展中OMI漏洞影响的机器 - Microsoft Tech Community
- 要识别易受攻击扩展的Azure VM,请利用Azure门户或Azure CLI,如本文所述。如果报告的扩展版本与下表中“固定扩展版本”列出的版本匹配,则无需进一步操作。
- 要扫描Azure订阅中的易受攻击VM,请使用此处的脚本。此脚本还可用于使用upgradeOMI参数修补受影响的VM。
如何保护自己免受这些漏洞的影响?
扩展更新:客户必须根据下表更新其云和本地部署的易受攻击扩展。区域中的新VM在创建时已受到这些漏洞的保护。对于云部署,Microsoft已跨Azure区域部署了扩展更新。自动扩展更新已透明修补,无需重启。在可能的情况下,客户应确保启用自动扩展更新。请参阅Azure中VM和规模集的自动扩展升级以评估自动更新的配置。
所有使用OMI的扩展都有更新可用,以解决远程执行漏洞(RCE)和权限提升(EoP)问题。客户可以通过确保VM部署在网络安全组(NSG)内或外围防火墙后面,并限制对暴露OMI端口(TCP 5985、5986和1270)的Linux系统的访问,来增加深度防御并保护自己免受RCE漏洞的影响。请注意,端口5985和5986也用于Windows上的PowerShell远程处理,不受这些漏洞的影响。有关配置DSC和SCOM防火墙规则的更多信息,请参阅Azure Automation网络配置详细信息和为Operations Manager配置防火墙。
如何检测此漏洞是否已被利用?
利用这些漏洞远程执行命令的攻击者将通过SCXcore服务运行命令。SCXcore提供程序在AIX 6.1及更高版本、HP/UX 11.31及更高版本、Solaris 5.10及更高版本以及大多数Linux版本(最早至RedHat 5.0、SuSE 10.1和Debian 5.0)上运行。SCX有一个名为ExecuteShellCommand的RunAsProvider。ExecuteShellCommand RunAsProvider将使用/bin/sh shell执行任何UNIX/Linux命令。
如果您启用了auditd并正在收集execve日志,请查找从工作目录“/var/opt/microsoft/scx/tmp”运行的命令。 您还可以启用SCXadmin工具的日志记录。如果使用命令启用日志记录:“/opt/microsoft/scx/bin/tools/scxadmin -log-set all verbose”,您将在/var/opt/microsoft/scx/log/scx.log中看到命令。要查看正在执行的命令,请grep Invoke_ExecuteShellCommand。
有关SCXadmin的更多详细信息,请参阅此处:管理和配置UNIX - Linux代理 | Microsoft Docs。有关SCXcore的更多详细信息,请参阅GitHub存储库:microsoft/SCXcore: System Center Cross Platform Provider for Operations Manager (github.com)。 Microsoft已为Azure Sentinel发布了额外的检测指南和保护措施:使用Azure Sentinel狩猎OMI漏洞利用。为了进一步改善客户的安全保护,Microsoft将在调查进展中继续为客户提供额外保护。Microsoft还向主要安全软件提供商提供了上述检测指南。安全软件提供商可以使用此检测指南通过其安全软件或设备(如防病毒软件、基于网络的入侵检测系统或基于主机的入侵防御系统)为客户提供更新的保护。有关这些安全提供商的更多信息,请参阅Microsoft Active Protections Program。
Azure Marketplace VM是否受这些漏洞影响?
Microsoft已确定一部分Azure marketplace VM安装了易受攻击版本的OMI框架。Microsoft已向使用受影响VM映像的客户发布Azure Service Health通知,以提供有关如何修复其资源的指南。Microsoft还通知了Marketplace发布者,为提供更新OMI框架的产品发布新版本的VM映像。
Microsoft的工程团队正在通过安全部署实践工作,并将定期更新此指南,提供更新说明和扩展更新可用性的链接。
请使用滚动条查看完整表格。
| 扩展/包 | 部署模型 | 漏洞暴露 | 易受攻击的扩展版本 | 固定扩展版本 | 更新扩展可用性 |
|---|---|---|---|---|---|
| OMI作为独立包 | 本地/云 | 远程代码执行 | OMI模块版本1.6.8.0或更低 | OMI版本v1.6.8-1 | 手动下载更新此处 |
| System Center Operations Manager (SCOM) | 本地 | 远程代码执行 | OMI版本1.6.8.0或更低(OMI框架用于Linux/Unix监控) | OMI版本:1.6.8-1 | 手动下载更新此处 |
| Azure Automation State Configuration, DSC Extension | 云 | 远程代码执行 | Linux DSC代理版本:2.71.X.XX(除固定版本或更高版本外)2.70.X.XX(除固定版本或更高版本外)3.0.0.1 2.0.0.0 | Linux DSC代理版本:2.71.1.25 2.70.0.30 3.0.0.3 | Microsoft已完成更新部署。继续报告为易受攻击的VM:手动更新使用说明此处 |
| Azure Automation State Configuration, DSC Extension | 本地 | 远程代码执行 | OMI版本低于v1.6.8-1(OMI框架是DSC代理的先决条件安装) | OMI版本:1.6.8-1 | 手动更新OMI使用说明此处 |
| Log Analytics Agent | 本地 | 本地权限提升 | OMS Agent for Linux GA v1.13.39或更低 | OMS Agent for Linux GA v1.13.40-0 | 手动更新使用说明此处 |
| Log Analytics Agent | 云 | 本地权限提升 | OMS Agent for Linux GA v1.13.39或更低 | OMS Agent for Linux GA v1.13.40-0 | Microsoft已完成更新部署。继续报告为易受攻击的VM:手动更新使用说明此处 |
| Azure Diagnostics (LAD) | 云 | 本地权限提升 | LAD v4.0.0-v4.0.5 LAD v3.0.131及更早版本 | LAD v4.0.15和LAD v3.0.135 | Microsoft已完成更新部署 |
| Azure Automation Update Management | 云 | 本地权限提升 | OMS Agent for Linux GA v1.13.39或更低 | OMS Agent for Linux GA v1.13.40-0 | Microsoft已完成更新部署。继续报告为易受攻击的VM:手动更新使用说明此处 |
| Azure Automation Update Management | 本地 | 本地权限提升 | OMS Agent for Linux GA v1.13.39或更低 | OMS Agent for Linux GA v1.13.40-0 | 手动更新使用说明此处 |
| Azure Automation | 云 | 本地权限提升 | OMS Agent for Linux GA v1.13.39或更低 | OMS Agent for Linux GA v1.13.40-0 | Microsoft已完成更新部署。继续报告为易受攻击的VM:手动更新使用说明此处 |
| Azure Automation | 本地 | 本地权限提升 | OMS Agent for Linux GA v1.13.39或更低 | OMS Agent for Linux GA v1.13.40-0 | 手动更新使用说明此处 |
| Azure Security Center | 云 | 本地权限提升 | OMS Agent for Linux GA v1.13.39或更低 | OMS Agent for Linux GA v1.13.40-0 | Microsoft已完成更新部署 |
| Azure Sentinel | 云 | 本地权限提升 | OMS Agent for Linux GA v1.13.39或更低 | OMS Agent for Linux GA v1.13.40-0 | Microsoft已完成更新部署 |
| Container Monitoring Solution | 云 | 本地权限提升 | 参见注1 | 参见注2 | 更新的Container Monitoring Solution Docker映像可用此处 |
| Azure Stack Hub | 本地 | 本地权限提升 | Azure Monitor, Update and Configuration Management 受影响版本:1.8 1.8.11 1.12 1.12.17 1.13.27 1.13.33 | Azure Monitor, Update and Configuration Management 1.14.02 | 新扩展版本可通过Azure Stack Hub marketplace获取。手动更新使用说明此处 |
| Azure Stack Hub | 本地 | 本地权限提升 | Microsoft Azure Diagnostic Extension for Linux Virtual Machines 受影响版本:3.0.111 3.0.121 | Microsoft Azure Diagnostic Extension for Linux Virtual Machines 3.1.135 | 新扩展版本可通过Azure Stack Hub marketplace获取。手动更新使用说明此处 |
| Azure HDInsight | 云 | 本地权限提升 | 运行Ubuntu 16.0.4的HDInsight集群客户或启用Azure Monitor for HDInsight集群集成的客户易受权限提升漏洞影响OMI框架版本1.6.8.0或更低 | OMI框架v1.6.8-1 | 自动更新已完成。如果客户配置阻止了更新,客户必须通过在每个集群节点上运行以下脚本来应用更新 |
请使用滚动条查看完整表格。
注1:Container Monitoring Solution Docker映像的SHA ID不同于sha256:12b7682d8f9a2f67752bf121029e315abcae89bc0c34a0e05f07baec72280707 注2:固定版本的SHA ID:sha256:12b7682d8f9a2f67752bf121029e315abcae89bc0c34a0e05f07baec72280707
修订历史:
- 修订1.0 2021年9月16日:信息发布。
- 修订1.1 2021年9月17日:更新了受影响的软件,澄清了客户如何确定哪些VM受这些漏洞影响,以及客户可以采取哪些措施来保护自己免受这些漏洞的影响。
- 修订1.2 2021年9月18日:添加了检测指南。
- 修订1.3 2021年9月19日:更新了Azure Monitor, Update and Configuration Management Azure Stack Hub扩展的发布日期
- 修订1.4 2021年9月20日:更新了Azure Diagnostics (LAD)的版本号,并添加了Azure Stack Hub新更新可用的信息。
- 修订1.5 2021年9月21日:删除了“如何确定哪些VM受这些漏洞影响?”部分中的第一个项目符号。
- 修订1.6 2021年9月22日:更新了受影响的软件表,包括HDInsight、Azure StackHub以及自动更新启用的日期。
- 修订1.7 2021年9月24日:宣布了Azure Automation State Configuration, DSC Extension、Log Analytics Agent、Azure Automation Update Management、Azure Automation、Azure Security Center、Azure Sentinel和Azure Stack Hub的多个更新和部署的发布。
- 修订1.8 2021年9月30日:更新以反映Microsoft自动更新过程的完成。
- 修订1.0 2021年10月5日:更新了Azure Stack Hub(本地)的Azure Monitor, Update and Configuration Management的版本号为1.14.02