2min

Tags in dit artikel

, ,

Specialisten van Wiz hebben onlangs weer vier nieuwe kwetsbaarheden in de public cloudinfrastructuur van Microsoft Azure ontdekt. De kwetsbaarheden maken gebruik van de open-source agent Open Management Infrastructure (OMI).

Volgens de experts van securityexpert Wiz zijn de nu ontdekte kwetsbaarheden aangetroffen in de Automation-, Operations Management Suite-, Diagnostics- en Log Analytics-tools binnen Azure. Eerder ontdekten dezelfde securityexperts het inmiddels zeer bekende Azure-lek in de Azure Cosmos DB database.

De nu aangemerkte tools gebruiken allemaal een open-source agent, de Open Management Infrastructure (OMI). Deze agent is samen met The Open Group ontwikkeld. De agent fungeert als een Windows beheerinfrastructuur voor UNIX- en Linux-systemen. De tool helpt gebruikers onder meer met het verzamelen van statistische gegevens en de configuratie van synchronisatie-activiteiten voor meerdere omgevingen.

Werking kwetsbaarheden

De nu ontdekte kwetsbaarheden maken het mogelijk dat bij het opzetten van een Linux vm binnen Azure de tool automatisch wordt gestart. Zonder dat eindgebruikers dit in de gaten hebben. Hackers kunnen hiervan misbruik maken en de gevonden kwetsbaarheden gebruiken voor toegang tot root privileges, het op afstand mogelijk maken van een ransomware-aanval of het draaien van andere kwaadaardige code. De onderzoekers hebben aan de kwetsbaarheden de naam ‘OMIGOD’ meegegeven.

Groot aanvalsoppervlak

Niet alleen zijn de gevonden OMIGOD-kwetsbaarheden relevant voor de public cloudomgeving van Azure. Omdat de open-source agent OMI ook binnen veel on-premises-omgevingen draait en vaak op Linux-machines wordt geïnstalleerd voor toegang tot het besturingssysteem van Microsoft, zijn andere installaties en vm’s natuurlijk ook kwetsbaar. Hierdoor heeft de kwetsbaarheid een groot aanvalsoppervlak, stellen de securityexperts van Wiz.

Definitieve patching ontbreekt nog

Microsoft heeft aangegeven inmiddels een gepatchte versie van OMI te hebben uitgebracht. Toch constateren dat de uitrol van de patch naar de betreffende vier tools van de techgigant in Azure nog op zich laat wachten. Tot op heden zouden deze nog niet zijn aangepast en dus nog steeds deze kwetsbaarheid mogelijk maken.