CVE-2021-38648

Microsoft Open Management Infrastructure (OMI)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Open Management Infrastructure (OMI) within Azure VM Management Extensions contains an unspecified vulnerability allowing privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-38648) в компоненте Microsoft Open Management Infrastructure (OMI), который используется расширениями управления виртуальными машинами Azure (например, для мониторинга или настройки), позволяет удаленному аутентифицированному злоумышленнику выполнить произвольный код с повышенными привилегиями (привилегии root/системы) на целевой системе.

  • Как это используют: Атакующий, имеющий доступ к системе (например, через скомпрометированную учетную запись с низкими привилегиями), может отправить специально созданный запрос к OMI-серверу (порт 5986/HTTPS или 1270/HTTP). Успешная эксплуатация приводит к полному контролю над системой.

Как исправить

Основной метод — обновление OMI до исправленной версии.

  1. Определите текущую версию OMI: bash omicli ei root/cimv2 OMI_Identify Или проверьте версию пакета: bash rpm -qa | grep omi # Для RHEL/CentOS dpkg -l | grep omi # Для Ubuntu/Debian

  2. Обновите пакет OMI до одной из исправленных версий:

    • Для Linux (через официальные репозитории Microsoft): ```bash # Для Ubuntu/Debian sudo apt update sudo apt install --only-upgrade omi

      Для RHEL/CentOS 7/8

      sudo yum update omi `` **Исправленные версии:**1.6.8-1` и выше. * Для Windows (через агент Azure): Обновление происходит автоматически через платформу Azure. Убедитесь, что агент виртуальной машины обновлен до последней версии. Вручную можно проверить и обновить через Панель управления -> Программы и компоненты (искать "Microsoft Azure VM Agent").

  3. Перезапустите службу OMI: bash sudo systemctl restart omi

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте сетевой доступ к OMI:

    • Настройте группу безопасности сети (NSG) в Azure или локальный фаервол (iptables, firewalld), чтобы разрешить входящие подключения к портам OMI только с доверенных IP-адресов (например, с jump-хостов или подсетей администраторов).
    • Пример для firewalld (ограничение доступа к порту 5986 с IP 10.0.1.0/24): bash sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.1.0/24" port port="5986" protocol="tcp" accept' sudo firewall-cmd --reload

  2. Отключите ненужные расширения VM: В Azure Portal проверьте список установленных расширений виртуальной машины и удалите те, которые не используются. Некоторые расширения требуют OMI.

  3. Мониторинг: Настройте оповещения в SIEM или Azure Monitor на подозрительную активность, связанную с процессом omiengine или сетевыми подключениями к портам 5985, 5986, 1270.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей