Mirai殭屍網路程式攻擊Azure OMI重大風險漏洞

安全研究人員發現，一個微軟甫修補的Azure OMI漏洞，已經出現攻擊行動，而且是惡名昭彰的Mirai殭屍網路程式。

微軟上周釋出9月份Patch Tuesday修補66項漏洞，包括已被開採的Windows MSHTML遠端程式碼執行（RCE）漏洞，以及存在於Azure Open Management Infrastructure (OMI) 管理元件的RCE，編號CVE-2021-38647。

OMI是用於IT管理的開原碼專案，它是DMTF CIM/WBEM（common information model/web-based enterprise management）標準的代理程式，支援Unix及Linux平臺。但在Azure上啟動Linux VM時，也會自動安裝OMI，但用戶並不知道。

微軟說明，受影響的產品包括本地部署的Linux版SCOM（System Center Operations Manager）或是Azure所有啟用OMI的管理元件，如Automation Sate Configuration、Azure Desired State Configuration擴充程式。此外，Azure OMS（Operation Management Suite，OMS）、Azure Insights、Azure Automations及 Azure Log Analytics等等。

這項漏洞一旦開採成功，攻擊者不需驗證即可以根（root）權限在Azure VM執行程式碼，為一風險值9.8的重大漏洞。安全廠商Wiz研究員Nir Ohfeld及Shir Tamari將CVE-2021-38647稱為OMIGOD。

微軟上周修補時，OMIGOD還未被開採。但上周安全研究人員發現，Mirai殭屍網路程式正對OMIGOD發動大規模分散式阻斷服務（DDoS）攻擊，而且這隻程式還會關閉受害主機的5896傳輸埠以杜絕其他後來的攻擊者。據信攻擊IP來源為中國。

研究人員證實Mirai已經將OMIGOD的開採程式納入到其正式工具中。

除了OMIGOD外，微軟同時還修補了Azure OMI 3個高風險的權限升級（EoP）漏洞（CVE-2021-38645、CVE-2021-38648、及CVE-2021-38649）。

微軟於Patch Tuesday後，又針對OMI元件漏洞發布額外安全指引。微軟說明，CVE-2021-38647（OMIGOD）影響v.1.6.8-1以前的所有版本。

微軟的指引包括以Azure內建的漏洞掃瞄工具掃瞄漏洞，並等待微軟更新的管理擴充程式，這些更新是自動部署到Azure上。微軟表示針對包含這些OMI擴充程式的PaaS服務，會儘速部署各雲端區域的新版擴充程式。