Beveiligingslek treft virtuele machines binnen Microsoft Azure

Microsoft heeft afgelopen dinsdag tijdens de Patch Tuesday meerdere (beveiligings)updates beschikbaar gesteld. Eén van de updates lost een zeer ernstige kwetsbaarheid (kenmerk CVE-2021-38647) op voor Linux Machines die onder andere binnen Microsoft Azure draaien. De kwetsbaarheid is ook bekend onder de werktitel “OMIGOD”.

Omdat de kwetsbaarheid op afstand is uit te voeren, wordt actief misbruik door kwaadwillenden op korte termijn verwacht.

Wat is er aan de hand?

De kwetsbaarheid bevindt zich in de in de Open Management Infrastructure (OMI) software van Microsoft. Deze OMI management software wordt bijvoorbeeld gebruikt om Linux machines te beheren en monitoren. Aangezien de management software standaard een aantal poorten (5986, 5985 en/of 1270) openzet die vanaf het internet benaderbaar zijn, is deze kwetsbaarheid extra gevaarlijk. De kwetsbaarheid is hierdoor op afstand te misbruiken.

Uitbuiting van deze kwetsbaarheid kan er toe leiden dat de virtuele machine volledig wordt overgenomen. Zo kan een aanvaller op afstand willekeurige code uit voeren, rechten verhogen en gevoelige gegevens stelen. Er is met name veel aandacht voor de kwetsbaarheid binnen Microsoft Azure omdat de OMI management software daar automatisch geïnstalleerd wordt op Linux Virtuele Machines (VM’s).

Wat kan ik doen?

Microsoft heeft beveiligingsupdates beschikbaar gesteld voor deze kwetsbaarheden. Het advies is om deze zo spoedig mogelijk te (laten) installeren op Linux machines die de OMI-software gebruiken.

Als je niet zeker weet of je gebruik maakt van kwetsbare Linux machines, neem dan contact op met je IT-dienstverlener. Omdat de genoemde OMI-software automatisch wordt geïnstalleerd binnen Microsoft Azure, kan het zijn dat je je niet bewust bent van de aanwezigheid van deze software. Advies is om dit uit te (laten) zoeken.

Uitgebreide informatie over "OMIGOD" vind je op de website van Microsoft.