Tehdit aktörleri, Microsoft'un bu ayın yaması sırasında onları açıkladıktan iki gün sonra kritik Azure Omigod güvenlik açıklarını aktif olarak kullanmaya başladı.
Açık Yönetim Altyapısı (OMI) yazılım aracısında, tüm Azure örneklerinin yarısından fazlası üzerinde sessizce kurulan dört güvenlik kusurları (ayrıcalık artış ve uzaktan kod yürütme) bulundu.
Hepsinde, bu hatalar, Binlerce Azure müşterisini ve milyonlarca bitiş noktasını etkilemektedir.
"Tek bir paketle, bir saldırganın, kimlik doğrulama başlığını basitçe kaldırarak uzak bir makineye kök olabilir. Bu basit," WIZ araştırmacı NIR Ohfeld, CVE-2021-38647 uzak kodu yürütme (RCE) kusurunu (RCE) hakkında.
"Bu güvenlik açığı, saldırganlar tarafından, hedef bir Azure ortamına ilk erişimin elde edilmesi ve sonra yanal olarak hareket etmesi için de kullanılabilir."
İlk saldırılar dün akşam güvenliği araştırmacısı Germán Fernández tarafından görüldü ve kısa sürede siber güvenlik şirketleri Greynoise ve kötü paketler tarafından onaylandı.
GREYNOISE'nin mevcut istatistiklerine göre, saldırganlar, 110'dan fazla sunucudan gelen CVE-2021-38647'den itibaren açıklanan Azure Linux VMS için interneti tarıyorlar.
Bir Mirai Botnet, Perşembe akşamı Fernández tarafından ilk gördüğü gibi, Azure Linux OMI son noktaları hedefleyen bu sömürünün bir kısmının arkasında.
Dijital adli tıp firması Cado Güvenliği ayrıca, Botnet kötü amaçlı yazılımını tehlikeye atılan sistemlere düştü ve "Sistemi devralarak diğer botnetleri durdurmak için kullandığı güvenlik açıklarının bağlantı noktalarını kapattığını" buldu.
Güvenlik araştırmacısı Kevin Beaumont'un bulunduğu gibi, diğer tehdit aktörleri, Cryptominer yüklerini dağıtmak için OMIGOD-savunmasız Azure sistemlerini hedefliyor.
Microsoft, bir haftadan fazla birden fazla yamalı OMI yazılım ajanı sürümünü yamalamış olsa da, şirket hala VM'lerinde etkin olan otomatik güncellemeleri olan bulut müşterilerine güvenlik güncellemelerini yayınlama sürecinde.
Bugün ek rehberlik redmondlarına göre, "Müşteriler, Microsoft Security Respirent Center ekibi tarafından paylaşılan önceden tanımlanmış bir programa göre, güncellemeler için uygun hale geldikçe müşteriler, bulutlar ve tesis içi dağıtımlar için uygunsuz uzantıları güncellemeleri gerekir.
"Bu bölgelerdeki yeni VMS bu güvenlik açıklarından korunacaklar, güncellenmiş uzantıların kullanılabilirliğini gönderin."
OMI aracısını VM'nizde manuel olarak güncellemek için, dahili Linux paket yöneticisini de kullanabilirsiniz:
MSREPO'yu sisteminize ekleyin. Kullanmakta olduğunuz Linux OS'sine dayanarak, MSREPO'yu sisteminize kurmak için bu bağlantıya bakın: Microsoft ürünleri için Linux Yazılım Deposu | Microsoft Dokümanlar
O ÖmI'yi yükseltmek için platformun paket aracını kullanabilirsiniz (örneğin, Sudo Apt-get install Omi veya Sudo Yum Install OMI).
"Güncellemeler güvenli dağıtım uygulamaları kullanılarak yayınlanıyor olsa da, müşteriler VMS'nin bir ağ güvenlik grubunda (NSG) içinde veya bir çevre güvenlik duvarı içinde konuşlandırılmasını sağlayarak RCE güvenlik açığına karşı koruyabilir ve bir çevre güvenlik duvarının arkasında ve OMI portlarını ortaya çıkaran Linux sistemlerine erişimi kısıtlayabilir (TCP) 5985, 5986 ve 1207), "diye ekledi.
Microsoft, Azure Linux Admins'ten, Omigod Hatalarını Manuel Yama Yapmalarını İstedi
Microsoft, gizlice yüklü Azure Linux uygulamasında kritik hataları düzeltiyor
Yeni Malware, gizli saldırılar için Linux için Windows alt sistemini kullanıyor
Ukraynaca, haftada 2.000 çalınan giriş yapmak için iade edildi
Synology, kötü amaçlı yazılımın bulaşması NAS aygıtları fidye yazılımı ile uyardı
Kaynak: Bleeping Computer