CVE-2021-38645

Microsoft Open Management Infrastructure (OMI)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Open Management Infrastructure (OMI) within Azure VM Management Extensions contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (Privilege Escalation) в компоненте OMI, который автоматически разворачивается в расширениях для управления виртуальными машинами Azure (например, для мониторинга или автоматизации). Атакующий с низкими привилегиями в системе может отправить специально сформированный пакет на локальный порт OMI (по умолчанию TCP/5985, 5986, 1270), чтобы выполнить произвольный код с правами суперпользователя (root).

Как исправить

Основной метод — обновление пакета OMI до исправленной версии.

  1. Определите версию OMI на сервере: bash omicli id или bash dpkg -l | grep omi или bash rpm -qa | grep omi

  2. Обновите пакет OMI до одной из исправленных версий:

    • Для OMI версии 1.6.8-1 и выше: обновитесь до 1.6.8-5 или новее.
    • Для OMI версии 1.5.0-0 и выше (но ниже 1.6.8-1): обновитесь до 1.5.0-5 или новее.

    Команды для обновления (Linux): ```bash

    Для систем на базе Debian/Ubuntu (APT)

    sudo apt update && sudo apt install --only-upgrade omi

    Для систем на базе RHEL/CentOS (YUM)

    sudo yum update omi

    Для систем на базе SUSE (Zypper)

    sudo zypper update omi ```

  3. Для виртуальных машин Azure: Убедитесь, что все установленные расширения виртуальных машин (например, AzureSecurityCenter, AzureMonitor, DSCForLinux, AzureAutomation) обновлены до последних версий через портал Azure, CLI или PowerShell, так как они содержат исправленный OMI.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте сетевой доступ к портам OMI:

    • Настройте группу безопасности сети (NSG) или локальный фаервол (iptables, firewalld), чтобы заблокировать входящие подключения извне к портам OMI (TCP/5985, 5986, 1270). Оставьте доступ только с доверенных IP-адресов, необходимых для управления.
    • Пример правила iptables для блокировки внешнего доступа к порту 5985 (оставляя доступ localhost): bash sudo iptables -A INPUT -p tcp --dport 5985 -s 127.0.0.1 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 5985 -j DROP

  2. Используйте WAF (Web Application Firewall): Если OMI доступен через веб-интерфейс, настройте правила WAF (например, Azure WAF) для фильтрации аномальных или подозрительных запросов к соответствующим эндпоинтам.

  3. Минимизация: Удалите расширения виртуальных машин Azure, которые не используются, чтобы исключить компонент OMI из системы. Перед удалением проверьте зависимости.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей