Linux仮想マシンを作成して特定のMicrosoft Azureサービスを有効にすると、Open Management Infrastructure(OMI)エージェントが自動的にインストールされます。多くの利用者は、こうしたものがインストールされることに気付いていません(英語記事)。
何かが知らないうちにインストールされるというだけでも困った話ですが、今回の件にはさらに2つの問題があります。第1に、OMIエージェントに既知の脆弱性が複数存在すること。第2に、このエージェントをAzure内で自動アップデートするメカニズムが存在しないこと。Microsoft側で問題が修正されるまでは、Azure上でLinux仮想マシンを運用する利用者の側で対応を取る必要があります。
Open Management Infrastructure(OMI)の脆弱性と、攻撃者による悪用の可能性
9月の月例パッチで、MicrosoftはOpen Management Infrastructure(OMI)に存在する4つの脆弱性に対するセキュリティ更新を公開しました。そのうちCVE-2021-38647は、リモートコード実行(RCE)を許す深刻な脆弱性です。CVE-2021-38648、CVE-2021-38645、CVE-2021-38649は、標的ネットワークに侵入済みの攻撃者がマルチステージ攻撃を行う際、権限の昇格(LPE)に利用される可能性があり、高いCVSSスコアが割り当てられています。
Microsoft Azureを利用している場合にLinux仮想マシンを作成して一連のAzureサービスを有効にすると、OMIエージェントがシステムへ自動的に導入されます。該当するサービスはAzure Automation、Azure Automatic Update、Azure Operations Management Suite、Azure Log Analytics、Azure Configuration Management、Azure Diagnosticsなど多数です。OMIエージェントはシステム内で最高位の権限を持ち、また、統計値の収集や構成の同期といったタスクを持つことからさまざまなHTTPポート(有効になっているサービスによって異なる)を通じてインターネットからアクセス可能になっていることが一般的です。
例えば、待機ポートが5986である場合、攻撃者はCVE-2021-38647を悪用して悪意あるコードをリモート実行することが可能です。OMIが(ポート5986、5985、または1270を通じて)リモート管理で利用可能な場合、同じ脆弱性を悪用してAzureに隣接するネットワーク全体に部外者がアクセス可能となります。専門家らは、この脆弱性の悪用は非常に簡単であると述べています。
This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com/iIHNyqgew4
— Ami Luttwak (@amiluttwak) September 14, 2021
現在のところ実環境での攻撃は報告されていませんが、これら脆弱性を簡単に悪用可能であるとの情報が多数出回っている状況から、実環境で攻撃が見られるのも時間の問題と考えられます。
対策
Microsoftからは、これら4つの脆弱性に対するパッチが公開されています。しかし、OMIは自動的にアップデートされない場合があるので、自社のLinux仮想マシンにどのバージョンが適用されているのかを確認する必要があります。バージョンが1.6.8.1よりも古い場合は、OMIエージェントをアップデートしてください。バージョン確認方法については、CVE-2021-38647の説明をご覧ください。
このほか、リモートからのコード実行を防ぐために、ポート5985、5986、および1270へのネットワークアクセスを制限することも推奨されています。