吳明宜真的來了!Mirai 殭屍網路程式攻擊 OMIGOD 漏洞
每當微軟公佈漏洞就會引來惡意程式活動。微軟上周二公佈 OMIGOD 漏洞,本周就傳出 Mirai 殭屍網路病毒已經發動攻擊。
微軟周二公佈並修補 Azure 上 Open Management Infrastructure (OMI) 管理框架的漏洞,編號 CVE-2021-38647。攻擊者改造訊息封包,並送到有漏洞的系統即可開採,並以根權限執行程式,是一個風險值 9.8 的遠端程式碼執行(RCE)漏洞。CVE-2021-38647 連同其他 3 個高風險的 OMI 漏洞,統稱為 OMIGOD。
OMI 主要是用於 Linux 及 UNIX 系統管理的程式。但 Azure 環境下新增 Linux VM 時,也會悄悄安裝這個擴充程式,使此類 Azure 用戶曝險。
上周五研究人員發現到有疑似開採 OMIGOD 漏洞植入 Mirai 殭屍網路程式的活動。Mirai 甚至還會關閉傳輸埠 5896 (OMI SSL port) 以防止其他攻擊者進入。
隨後微軟就發佈了額外的安全公告。微軟指出,OMIGOD「只影響使用 Linux 管理方案,包括本地部署的 System Configuration Operations Management (SCOM) 或是管理擴充程式如 Azure Desired State Configuration、Azure Automation State Configuration(DSC),且啟動遠端 OMI 管理功能的用戶。」
受影響的擴充程式包括前述的 SCOM、 Azure Automation State Configuration (DSC Extension)、Azure Automation State Configuration (DSC Extension)、Log Analytics Agent、 Azure Diagnostics (LAD)、 Azure Automation Update Management、 Azure Automation、 Azure Security Center、和 Container Monitoring Solution。
微軟已經著手針對受影響的擴充程式釋出更新版,並部署到 Azure 各個區域,鼓勵用戶儘速更新到雲端及本地部署環境。已啟動自動更新者,應該已經在 9 月 18 日自動更新。其他則需手動更新。
OMI 本身則已經在 8 月修補 OMIGOD 漏洞,所有系統中有此程式者應升動更 新到最新 1.6.8-1 版本以後。
微軟並指出,在網路安全性群組 (Network Security Group, NSG) 下部署,或由周邊防火牆保護的 VM,由於 Linux 系統 OMI 傳輸埠存取受限,因而可免於 RCE 攻擊。
最好的方法是儘速安裝微軟上周 Patch Tuesday 釋出的安全更新,上周微軟一共修補了包括 Windows MSHMTL 引擎漏洞 CVE-2021-40444 在內的 66 項漏洞。