Azure Linux VM に脆弱性、プリインストールされたエージェントが原因
2021 年 9 月 16 日 Josh Stuifbergen 著
クラウドインフラストラクチャのセキュリティ企業 Wiz 社が、「ChaosDB」と名付けられたAzure Cosmos DB の脆弱性を公開して数週間が経ちました。同社は 2021 年 9 月 14 日に Azure に見つかった新たな脆弱性を公開しました。これは、インストールされたデフォルトのエージェントを通じ、Linux 仮想マシン (VM) に影響を与えるものです。Wiz 社はその 4 つの脆弱性群を「OMIGOD」と名付けています。
OMI (Open Management Infrastructure) エージェントは、WMI (Windows Management Infrastructure) サービスと同様、統計情報を収集し、設定を同期するものです。デフォルトでは、OMI エージェントは Azure Linux VM インスタンスの大部分にインストールされています。また、オンプレミスの導入においても存在する可能性があります。そのため、この脆弱性が Azure のサービスの広範囲に及んでいても不思議ではありません。
Wiz 社が公表した影響を受けるサービスとツールには、以下が含まれます。
- Azure Automation
- Azure Automatic Update
- Azure Operations Management Suite (OMS)
- Azure Log Analytics
- Azure Configuration Management
- Azure Diagnostics
- Azure Container Insights
Microsoft は Wiz 社からの事前通知を受け、この脆弱性に対するセキュリティパッチを公開しました。この OMI エージェントの重要性は、root 権限で実行されるということにあります。これにより攻撃者は、下位権限を持つユーザを介して、権限昇格が可能となります。権限昇格の脆弱性は、CVE-2021-38648、CVE-2021-38645、CVE-2021-38649 の 3 つです。
4 つ目の脆弱性 CVE-2021-38647 は、未承認のリモートコード実行 (RCE) を引き起こす root の脆弱性です。この脆弱性は深刻で、かつ攻撃への利用が容易なため、もっとも注目を集めています。Azure のサービスによっては、開いている HTTP/S ポート 5986、5985、または 1270 を介して OMI エージェントと通信します。上記のポートがインターネットでアクセス可能なだけでも危険である上、リモートコード実行を可能にする方法も驚くほど単純で、POST リクエストから Authorization ヘッダを削除した 1 つのパケットを送信するだけで実行可能です。Wiz 社のブログ記事には、さらなる詳細が掲載されています。ですが幸運なことに、ほとんどの Azure サービスはこれらのポートを開かずに展開されています (すべてではありません)。
画像: Wiz 社より
前述したように、Microsoft はこれらの脆弱性に対するパッチを公開しています。Microsoft が示す保護のための手順は以下です。
- お使いのシステムに MSRepo を追加する必要があります。使用している Linux OS に応じて以下のリンクを参照し、MSRepo をシステムにインストールしてください。Linux Software Repository for Microsoft Products | Microsoft Docs.
- その後、お使いのプラットフォームのパッケージツールを使用して OMI をアップグレードすることができます (「sudo apt-get install omi」または「sudo yum install omi」など)。
当記事執筆時点では、パッチ適用後もまだ脆弱性が存在しています。Wiz 社は 2021 年 9 月 15 日に、Azure が新しい Linux VM にも脆弱なバージョンの OMI を導入していることを発見しました。お使いの Azure 環境をスキャンし、ポート(5986、5985、1270)が公開されているのはどのサービスかを確認し、関連するファイアウォールルールを有効にし、外部アクセスを減らすことを推奨します。