La nouvelle vulnérabilité OMIGOD basée sur Azure est facile à exploiter. Celle-ci déjà été attaquée par le botnet Mirai et exploitée par des attaquants.
Convertir les machines victimes en botnets
Pour gérer les machines virtuelles Linux s’exécutant sur son Cloud Azure, Microsoft installe un outil de gestion open source appelé OMI (Open Management Infrastructure). Les chercheurs de Wiz ont découvert quatre vulnérabilités critiques dans OMI.
Avec la vulnérabilité OMIGOD, il était très facile de convertir les machines victimes en botnets. Celle-ci peut être utilisée pour exécuter du code à distance au sein du réseau avec une seule requête et passer aux privilèges root. Plus de 65% des clients Azure sont à risque.
OMI est également utilisé dans les Data Centers sur site lorsque les entreprises utilisent Microsoft System Center pour Linux. Il est moins probable que les installations sur site exposent OMI à Internet. Mais le cas échéant, la même vulnérabilité et le même exploit devraient fonctionner.
Trouver les systèmes concernés et installer le correctif pour s’en protéger
Il n’y a pas de documentation claire dans Azure sur le déploiement, la surveillance et la mise à jour d’OMI. Et comme ce dernier s’exécute sur les machines des clients, Microsoft ne se considère pas responsable de ce qui se passe avec.
Microsoft a publié un correctif. Mais c’est aux clients de trouver les systèmes concernés et d’installer le correctif. Wiz a publié une liste de contrôle d’identification et de correction OMIGOD. Et ce, pour aider les entreprises à résoudre le problème.
Microsoft a également publié son propre guide pour aider les clients à résoudre la vulnérabilité OMIGOD.
Recherche de machines virtuelles Azure Linux vulnérables
Plusieurs sociétés de sécurité (Bad Packers, GreyNoise, …) ont confirmé que les attaquants scannent le Web à la recherche de machines virtuelles Azure Linux vulnérables, y compris un opérateur de botnet Mirai.
Les entreprises utilisant des machines virtuelles Microsoft Azure sont déjà touchées par le botnet. Et celles-ci sont détournées pour être utilisées pour l’extraction de crypto-monnaies. Cette vulnérabilité est plus exploitable en raison de son incroyable facilité d’utilisation.
Le fait que le service OMI soit presque inconnu et qu’il fonctionne avec des privilèges root est par ailleurs particulièrement inquiétant. Cela a potentiellement laissé un trou béant pour l’exécution de code à distance qui n’est en aucun cas la faute des clients Azure.
La question de l’externalisation de la gestion des correctifs à un fournisseur de services Cloud
OMIGOD prouve que l’externalisation de la gestion des correctifs à un fournisseur de services Cloud n’est pas sans faille. Mais il s’agit plus d’une question de vérification que de confiance.
En fin de compte, ce ne sont pas les vulnérabilités des fournisseurs de Cloud qui sont les plus problématiques. Ces problèmes peuvent sembler plus graves, car échappent au contrôle de l’entreprise. Mais la vraie menace réside dans les erreurs de configuration.
Des fournisseurs comme AWS et Azure sont agressivement proactifs en ce qui concerne la cyberhygiène de leurs produits. Et 95 % de toutes les violations de la sécurité du Cloud sont dues à des erreurs d’utilisation et à des erreurs de configuration des services Cloud par les utilisateurs.
- Partager l'article :