Los actores de amenazas han comenzado a explotar de manera activa las vulnerabilidades críticas asociadas con Azure, después de dos días que Microsoft lanzará los parches correspondientes el día martes 14 de septiembre del presente año. Las 4 vulnerabilidades (que permiten la escalada de privilegios y la ejecución remota de código) se han encontrado en el agente Open Management Infrastructure (OMI), un servicio instalado silenciosamente por Microsoft en más de la mitad de las instancias de Azure.
Los CVE usados por los actores de amenazas son los siguientes:
- ⚠️ CVE-2021-38648 – OMI Elevation of Privilege Vulnerability
- ⚠️ CVE-2021-38645 – OMI Elevation of Privilege Vulnerability
- ⚠️ CVE-2021-38647 – OMI Remote Code Execution Vulnerability
- ⚠️ CVE-2021-38649 – OMI Elevation of Privilege Vulnerability
«Con un solo paquete, un atacante puede convertirse en usuario ROOT en una máquina remota, con tan solo eliminando la cabecera de autenticación. Es así de simple.» Dijo el investigador de Wiz, Nir Ohfeld, sobre la falla CVE-2021-38647.
Los primeros ataques usando dichas vulnerabilidades fueron detectados el jueves 16 de septiembre, por el investigador y líder RedTeam de CronUp, Germán Fernández y luego fueron confirmados por las empresas de ciberseguridad GreyNoise y Bad Packets.
Exploits RCE utilizados por la botnet #Mirai ⚠️
— Germán Fernández 🇨🇱 (@1ZRR4H) September 20, 2021
– Arcadyan CVE-2021–20090
– Realtek SDK (formSysCmd) CVE-2021-35395
– Realtek SDK (formWsc) CVE-2021-35395
– Seagate BlackArmor NAS RCE
– UDP Geutebruck CVE-2021-33544
– Azure OMIGOD CVE-2021-38647#DDoS #IoT #Botnet https://t.co/cXpopVB8lS pic.twitter.com/2N6Y1C2Tm8
Según las estadísticas de GreyNoise, los atacantes están explorando Internet en busca de máquinas virtuales Azure Linux expuestas y vulnerables a CVE-2021-38647 desde más de 110 servidores. Se ha identificado que una red de botnet de nombre Mirai, está detrás de algunos de estos intentos de explotación dirigidos a los puntos finales de Azure Linux OMI vulnerables.
#OMIGOD update (48 hours after release):
— Ami Luttwak (@amiluttwak) September 16, 2021
– Already exploited in the wild
– Azure is still not patched (see below my test a few minutes ago, 1.6.8.0 is vulnerable)
– Major risk for Azure environments. Make sure management ports are closed (5985/5986/1270) https://t.co/lLsABf2XL4 pic.twitter.com/XkVYafjCIu
La empresa de análisis forense Cado Security, también analizó una de las muestras del malware de la botnet identificados en los sistemas comprometidos y descubrió que una de las tareas que realiza el malware es el cierre los puertos vulnerables que explota dichas fallas, para impedir que otras botnet’s se apoderen del sistema y no puedan acceder a la máquina. También se ha identificado que otras redes de cibercriminales están usando estas fallas de seguridad para realizar procesos de minería de criptomonedas.
Mientras Microsoft ha lanzado una versión parcheada del agente OMI hace más de una semana, la compañía ya dispone del despliegue de las actualizaciones de seguridad a todos los clientes de la nube que tienen las actualizaciones automáticas habilitadas en sus máquinas virtuales.
¿Ya haz actualizado tus equipos?
Más información
https://www.cadosecurity.com/azure-omi-vulnerability-omigod-cve-2021-38647-now-under-exploitation/
https://github.com/microsoft/omi/releases
https://www.greynoise.io/viz/query/?gnql=cve%3ACVE-2021-38647

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.