こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
09/14/2021にMicrosoft社のOpen Management Infrastructure framework(OMI)の脆弱性(CVE-2021-38645, CVE-2021-38647, CVE-2021-38648, CVE-2021-38649 : OMIGOD)が公開されました。これらの脆弱性は「OMIGOD」と呼ばれており、9/17以降世界中で話題となっていて、既にエクスプロイトも出ているようです。今回は、特にこの「OMIGOD」を取り上げてみます。
報告用のまとめをこちらの記事として公開しました。
【2021/09/21 16:00更新】タイプミスを修正しました。また、エクスプロイトへのリンクも追加しました。
[過去の関連リンク]
QualysによるLinux Kernelの脆弱性(Important: CVE-2021-33909)とSystemdの脆弱性(CVE-2021-33910)に関するアドバイザリ
全てのWifiデバイスや(WPA3を含む)プロトコルに対してのデザイン上の問題と実装上の問題(FragAttack)
Intel(R) PROSet/Wireless WiFi 製品の脆弱性(High: INTEL-SA-00402, Critical: INTEL-SA-00403)
Intel製CPUの脆弱性(“Platypus”: INTEL-SA-00389)
資格情報(Credential)が漏洩する可能性がある脆弱性 ( “ContainerDrip” : CVE-2020-15157 )
Bluetoothの鍵を上書きされる脆弱性(BLURtooth: CVE-2020-15802)
複数のgrub2 と関連するLinux Kernel の脆弱性 (BootHole (CVE-2020-1968, etc.))
INTELのセキュリティアドバイザリ(INTEL-SA-00320: Special Register Buffer Data Sampling Advisory (CVE-2020-0543))
Priority
| CVE番号 | 影響するバージョン | 一次情報源 | Priority | CVSS Score / CVSS Vector |
|---|---|---|---|---|
| CVE-2021-38645 | Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions | Microsoft: 7.8 | ||
| CVE-2021-38647 | Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions | Microsoft: 9.8 | ||
| CVE-2021-38648 | Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions | Microsoft: 7.8 | ||
| CVE-2021-38649 | Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions | Microsoft: 7.0 |
ニュース記事・リンク等
- Microsoft Releases Security Update for Azure Linux Open Management Infrastructure (CISA)
- CVE-2021-38647 (OMIGOD): Critical Flaw Leaves Azure Linux VMs Vulnerable to Remote Code Execution (Tenable)
- https://www.bleepingcomputer.com/news/security/omigod-microsoft-azure-vms-exploited-to-drop-mirai-miners/(BleepingComputer)
- 2021年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起(JPCERT)
- MicrosoftのOpen Management Infrastructureにリモートコード実行の脆弱性
- 脅威に関する情報: OMI の脆弱性(CVE-2021-38645、CVE-2021-38647、CVE-2021-38648、CVE-2021-38649)について (Palo Alto)
- “Secret” Agent Exposes Azure Customers To Unauthorized Code Execution (Wiz)
Exploit情報
GitHub上でExploitが幾つか公開されています。
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
MicrosoftのOpen Management Infrastructure (OMI) は、GitHubでも公開されている、システムとネットワークの管理に使用される業界標準の規格DMTF CIM/WBEMを実装するフレームワークです。OMIは現在、殆どのUnix/Linuxシステムでビルドして使用することが出来ます。
例えば、RPMやDebパッケージが上述のGitHubからダウンロードしてインストールすることが出来ます。
いくつかのAzureVirtual Machine(VM)管理の拡張機能では、このフレームワークを使用して、LinuxVMでの構成管理とログ収集を調整しています。今回のリモートコード実行の脆弱性は、リモートOMI管理を可能にするLinux管理ソリューション(オンプレミス SCOM、Azure Automation State Configuration、Azure Desired State Configuration extension)を使用している場合にのみ影響するということです。
詳しくは、一次情報源を見るか、Microsoftまたは提供ベンダにお問い合わせください。
対処方法
Microsoft又は提供ベンダーの案内に従ってください。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
日々のメモを更新しています。
セキュリティ関係で気になったニュースの備忘録を兼ねたメモを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。
セミナー情報1
2021/09/13 18:30から、OSSセキュリティ技術の会 第九回勉強会を行います。
7/30にリリースされたKeycloak 15で、FAPI(Financial-Grade API)、CIBA(Client Initiated Backchannel Authentication)に対応しました(Certificateはまだですが…)。またDevice Flowにも対応しています。これを記念し、KeycloakのFAPI,CIBAの主要開発者もお招きして、「KeycloakのFAPI CIBA 対応記念の巻」と題して勉強会を行います。
Connpassのこちらがプログラム内容と申し込みの詳細になります。奮ってご参加下さい。
セミナー情報2
コンピュータセキュリティシンポジウム(CSS)2021併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2021の企画講演セッション及び、 一般論文セッションの発表募集をさせていただきます。
今年もオンラインでの開催となり、OWSトラックの一般論文セッションの論文募集(申込締め切り: 2021年08月02日(月))と企画セッションを行いますので,ご投稿とご参加よろしくお願いいたします。
