Mirai僵尸网络程式攻击Azure OMI重大风险漏洞

安全研究人员发现，一个微软甫修补的Azure OMI漏洞，已经出现攻击行动，而且是恶名昭彰的Mirai僵尸网络程式。

微软上周释出9月份Patch Tuesday修补66项漏洞，包括已被开采的Windows MSHTML远端程式码执行（RCE）漏洞，以及存在于Azure Open Management Infrastructure (OMI) 管理元件的RCE，编号CVE-2021-38647。

OMI是用于IT管理的开原码专案，它是DMTF CIM/WBEM（common information model/web-based enterprise management）标准的代理程式，支援Unix及Linux平台。但在Azure上启动Linux VM时，也会自动安装OMI，但用户并不知道。

微软说明，受影响的产品包括本地部署的Linux版SCOM（System Center Operations Manager）或是Azure所有启用OMI的管理元件，如Automation Sate Configuration、Azure Desired State Configuration扩充程式。此外，Azure OMS（Operation Management Suite，OMS）、Azure Insights、Azure Automations及 Azure Log Analytics等等。

这项漏洞一旦开采成功，攻击者不需验证即可以根（root）权限在Azure VM执行程式码，为一风险值9.8的重大漏洞。安全厂商Wiz研究员Nir Ohfeld及Shir Tamari将CVE-2021-38647称为OMIGOD。

微软上周修补时，OMIGOD还未被开采。但上周安全研究人员发现，Mirai僵尸网络程式正对OMIGOD发动大规模分散式阻断服务（DDoS）攻击，而且这只程式还会关闭受害主机的5896传输埠以杜绝其他后来的攻击者。据信攻击IP来源为中国。

研究人员证实Mirai已经将OMIGOD的开采程式纳入到其正式工具中。

除了OMIGOD外，微软同时还修补了Azure OMI 3个高风险的权限升级（EoP）漏洞（CVE-2021-38645、CVE-2021-38648、及CVE-2021-38649）。

微软于Patch Tuesday后，又针对OMI元件漏洞发布额外安全指引。微软说明，CVE-2021-38647（OMIGOD）影响v.1.6.8-1以前的所有版本。

微软的指引包括以Azure内建的漏洞扫描工具扫描漏洞，并等待微软更新的管理扩充程式，这些更新是自动部署到Azure上。微软表示针对包含这些OMI扩充程式的PaaS服务，会尽速部署各云端区域的新版扩充程式。