Microsoft a publié jeudi des recommandations sur la résolution des vulnérabilités récemment divulguées dans le cadre de l'Open Management Infrastructure (OMI), ainsi que de nouvelles protections pour résoudre les bugs dans les extensions de gestion des machines virtuelles Azure (VM) concernées.

La faille, repérée sous le nom de CVE-2021-38647, existe dans OMI. Celui-ci est utilisé dans plusieurs services Azure et extensions de gestion de VMs.

Il existe aussi trois autres failles (CVE-2021-38648, CVE-2021-38645 et CVE-2021-38649) qui permettent à un attaquant d'élever ses privilèges.

La faille a été découverte par Wiz et surnommée OMIGOD. Les opérateurs de Mirai avaient déjà commencé à exploiter les systèmes exposés à la vulnérabilité OMIGOD quelques jours après sa divulgation.

Selon Microsoft, OMIGOD "n'a d'impact que sur les clients utilisant une solution de gestion Linux (SCOM sur site ou Azure Automation State Configuration ou Azure Desired State Configuration extension) qui permet la gestion à distance de l'OMI."

Les extensions concernées sont System Center Operations Manager (SCOM), Azure Automation State Configuration (extension DSC), Azure Automation State Configuration (extension DSC), Log Analytics Agent, Azure Diagnostics (LAD), Azure Automation Update Management, Azure Automation, Azure Security Center et Container Monitoring Solution.

OMI en tant que package autonome a été corrigé en août et il est conseillé aux clients de le mettre à jour manuellement à la version 1.6.8-1 ou supérieure pour rester protégés.

Le géant technologique note également que les VMs déployées au sein d'un groupe de sécurité réseau ou protégées par un pare-feu périmétrique, où l'accès aux serveurs Linux qui exposent les ports OMI est limité, devraient être à l'abri de la faille RCE.

Il est conseillé aux clients Azure exploitant des VMs Linux d'appliquer les correctifs disponibles dès que possible, particulièrement depuis qu'un exploit de preuve de concept (PoC) ciblant les failles est déjà disponible publiquement.