Blog

OMIGOD – Las fallas de seguridad de Azure que están siendo usadas por botnets

Los actores de amenazas han comenzado a explotar de manera activa las vulnerabilidades críticas asociadas con Azure, después de dos días que Microsoft lanzará los parches correspondientes el día martes 14 de septiembre del presente año. Las 4 vulnerabilidades (que permiten la escalada de privilegios y la ejecución remota de código) se han encontrado en el agente Open Management Infrastructure (OMI), un servicio instalado silenciosamente por Microsoft en más de la mitad de las instancias de Azure.

Los CVE usados por los actores de amenazas son los siguientes:

  • ⚠️ CVE-2021-38648 – OMI Elevation of Privilege Vulnerability
  • ⚠️ CVE-2021-38645 – OMI Elevation of Privilege Vulnerability
  • ⚠️ CVE-2021-38647 – OMI Remote Code Execution Vulnerability
  • ⚠️ CVE-2021-38649 – OMI Elevation of Privilege Vulnerability

«Con un solo paquete, un atacante puede convertirse en usuario ROOT en una máquina remota, con tan solo eliminando la cabecera de autenticación. Es así de simple.» Dijo el investigador de Wiz, Nir Ohfeld, sobre la falla CVE-2021-38647.

Los primeros ataques usando dichas vulnerabilidades fueron detectados el jueves 16 de septiembre, por el investigador y líder RedTeam de CronUp, Germán Fernández y luego fueron confirmados por las empresas de ciberseguridad GreyNoise y Bad Packets.

Según las estadísticas de GreyNoise, los atacantes están explorando Internet en busca de máquinas virtuales Azure Linux expuestas y vulnerables a CVE-2021-38647 desde más de 110 servidores. Se ha identificado que una red de botnet de nombre Mirai, está detrás de algunos de estos intentos de explotación dirigidos a los puntos finales de Azure Linux OMI vulnerables.

La empresa de análisis forense Cado Security, también analizó una de las muestras del malware de la botnet identificados en los sistemas comprometidos y descubrió que una de las tareas que realiza el malware es el cierre los puertos vulnerables que explota dichas fallas, para impedir que otras botnet’s se apoderen del sistema y no puedan acceder a la máquina. También se ha identificado que otras redes de cibercriminales están usando estas fallas de seguridad para realizar procesos de minería de criptomonedas.

Mientras Microsoft ha lanzado una versión parcheada del agente OMI hace más de una semana, la compañía ya dispone del despliegue de las actualizaciones de seguridad a todos los clientes de la nube que tienen las actualizaciones automáticas habilitadas en sus máquinas virtuales.

¿Ya haz actualizado tus equipos?

Más información

https://www.cadosecurity.com/azure-omi-vulnerability-omigod-cve-2021-38647-now-under-exploitation/

https://docs.microsoft.com/en-us/windows-server/administration/Linux-Package-Repository-for-Microsoft-Software

https://github.com/microsoft/omi/releases

https://www.greynoise.io/viz/query/?gnql=cve%3ACVE-2021-38647

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required