【内部報告用文書纏め】OMIGODの脆弱性 について(一次報告用)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

09/14/2021にMicrosoft社のOpen Management Infrastructure framework(OMI)の脆弱性(CVE-2021-38645, CVE-2021-38647, CVE-2021-38648, CVE-2021-38649 : OMIGOD)が公開されました。

このOMIGODに関しては、こちらのページで速報を取り上げましたが、ここで改めて10/3に内部報告用に書いた文書をWebとして公開してみます。




1. 概要

2021年09月14日に、クラウドセキュリティ企業Wizの研究者がOMIGODと呼ばれるAzureの4つの脆弱性を公開した。このプログラム(OMI)を利用したAzure上のサービスは多いため、以降のインシデントにつながる可能性がある。

2. エグゼクティブサマリー

項目 内容
Who(誰が) 2021年10月03日現在、侵害を行った攻撃者は特定できていない
When(いつ) 2021年09月14日(Wiz社が脆弱性を公開)
Where(どこで) Microsoft社のOMIを用いたLinux/Unixサーバ、及びOMIが使用されているAzureサービスを使用しているAzure上のインスタンス
What(何を) セキュリティ会社WizによりMicrosoft社のOMIに関するリモートコード実行を含む4つの脆弱性(OMIGOD)が公開された。
Why(誰が) N/A
How(どのように) N/A
被害範囲 OMIを用いたLinux/Unixサーバ、及びOMIが使用されているAzureサービスを使用しているAzure上のインスタンス
確認方法 Microsoft社の該当サービスを使用しているか否か(PaaSとして使用している場合には透過的に更新がなされている)

3. Who(誰が)

本件に関してはセキュリティ会社Wizによる脆弱性の公開がなされたという段階であり、本脆弱性の悪用による実際のインシデントが発生したという報告は、2021/10/03現在では判明していない。

4. When(いつ)

本事案のタイムラインは、下図のとおりである。

  1. 2021年9月14日、WizによりOMIGODの脆弱性が公開された。
  2. 2021年9月16日、Microsoft社により脆弱性の詳細と確認方法が公開された。

5. Where(どこで)

本事案が発生する場所は、Azure上で以下の製品が使用されている場所になります。以下の表中に更新バージョン・更新方法等も記載されています。

【参考】Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions

Extension/Package Deployment Model Vulnerability Exposure 脆弱性がある拡張バージョン 修正済み拡張バージョン Updated Extension Availability
OMI as standalone package オンプレミス/ Cloud リモートコード実行 OMI module version 1.6.8.0 or less OMI version v1.6.8-1 手動による更新
System Center Operations Manager (SCOM) オンプレミス リモートコード実行 OMI versions 1.6.8.0 or less (OMI framework is used for Linux/Unix monitoring) OMI version: 1.6.8-1 手動による更新
Azure Automation State Configuration, DSC Extension Cloud リモートコード実行 Linux DSC Agent versions: 2.71.X.XX (except the fixed version or higher), 2.70.X.XX (except the fixed version or higher), 3.0.0.1, 2.0.0.0 Linux DSC Agent versions: 2.71.1.25, 2.70.0.30, 3.0.0.3 マイクロソフトによる更新プログラムの展開完了。 VMは引き続き脆弱性ありとレポートされる:手動による更新はこちら。
Azure Automation State Configuration, DSC Extension オンプレミス Remote Code Execution OMI versions below v1.6.8-1 (OMI framework is a pre-requisite install for DSC agent) OMI version: 1.6.8-1 手動による更新
Log Analytics Agent オンプレミス Local Elevation of Privilege OMS Agent for Linux GA v1.13.39 or less OMS Agent for Linux GA v1.13.40-0 手動による更新
Log Analytics Agent Cloud Local Elevation of Privilege OMS Agent for Linux GA v1.13.39 or less OMS Agent for Linux GA v1.13.40-0 マイクロソフトによる更新プログラムの展開完了。  VMは引き続き脆弱性ありとレポートされる:手動による更新はこちら。
Azure Diagnostics (LAD) Cloud Local Elevation of Privilege LAD v4.0.0-v4.0.5 LAD v3.0.131 and earlier LAD v4.0.15 and LAD v3.0.135 マイクロソフトによる更新プログラムの展開完了。 
Azure Automation Update Management Cloud Local Elevation of Privilege OMS Agent for Linux GA v1.13.39 or less OMS Agent for Linux GA v1.13.40-0 マイクロソフトによる更新プログラムの展開完了。  VMは引き続き脆弱性ありとレポートされる:手動による更新はこちら。
Azure Automation Cloud Local Elevation of Privilege OMS Agent for Linux GA v1.13.39 or less OMS Agent for Linux GA v1.13.40-0 マイクロソフトによる更新プログラムの展開完了。  VMは引き続き脆弱性ありとレポートされる:手動による更新はこちら。
Azure Automation Update Management オンプレミス Local Elevation of Privilege OMS Agent for Linux GA v1.13.39 or less OMS Agent for Linux GA v1.13.40-0 手動による更新
Azure Automation オンプレミス Local Elevation of Privilege OMS Agent for Linux GA v1.13.39 or less OMS Agent for Linux GA v1.13.40-0 手動による更新
Azure Security Center Cloud Local Elevation of Privilege OMS Agent for Linux GA v1.13.39 or less OMS Agent for Linux GA v1.13.40-0 マイクロソフトによる更新プログラムの展開完了。 
Azure Sentinel Cloud Local Elevation of Privilege OMS Agent for Linux GA v1.13.39 or less OMS Agent for Linux GA v1.13.40-0 マイクロソフトによる更新プログラムの展開完了。 
Container Monitoring Solution Cloud Local Elevation of Privilege Note 1 Note 2 更新されたコンテナ監視ソリューション Dockerイメージはこちら
Azure Stack Hub オンプレミス Local Elevation of Privilege Azure Monitor, Update and Configuration Management Impacted Versions: 1.8 1.8.11 1.12 1.12.17 1.13.27 1.13.33 Azure Monitor, Update and Configuration Management 1.14.01 新しいExtension バージョンはAzure Stack Hub マーケットプレイスにて使用可能。 手動による更新はこちら
Azure Stack Hub オンプレミス Local Elevation of Privilege Microsoft Azure Diagnostic Extension for Linux Virtual Machines Impacted Versions: 3.0.111 3.0.121 Microsoft Azure Diagnostic Extension for Linux Virtual Machines 3.1.135 新しいExtension バージョンはAzure Stack Hub マーケットプレイスにて使用可能。手動による更新はこちら
Azure HDInsight Cloud Local Elevation of Privilege Customers with HDInsight clusters running Ubuntu 16.0.4 OR customers that have enabled Azure Monitor for HDInsight cluster integration are susceptible to the Elevation of Privilege vulnerabilities OMI framework version 1.6.8.0 or less OMI framework v1.6.8-1 自動更新は完了。構成により更新が不可能となっている場合、または新たな Ubuntu 16.0.4クラスタをプロビジョニングしている場合には、こちらのスクリプト 全てのクラスタノード上で実行すること。

Note 1: コンテナ監視ソリューションの Docker イメージの SHA IDはsha256:12b7682d8f9a2f67752bf121029e315abcae89bc0c34a0e05f07baec72280707

Note 2: 修正されたバージョンの SHA IDは: sha256:12b7682d8f9a2f67752bf121029e315abcae89bc0c34a0e05f07baec72280707

6. What(何を)

2021/09/14にセキュリティ会社Wizにより、Microsoft社のOpen Management Infrastructure framework(OMI)の以下の4つの脆弱性が公開されました。

CVE番号 Priority CVSS 詳細
CVE-2021-38645 Microsoft: 7.8 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 特権昇格の脆弱性
CVE-2021-38647 Microsoft: 7.8 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H リモートコード実行の脆弱性
CVE-2021-38648 Microsoft: 7.8 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 特権昇格の脆弱性
CVE-2021-38649 Microsoft: 7.0 CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 特権昇格の脆弱性

Microsoft社のOpen Management Infrastructure framework(OMI)は、システムとネットワークの管理に使用される業界標準の規格DMTF CIM/WBEMを実装するオープンのフレームワークです。OMIは現在、GitHubでも公開されており、殆どのUnix/Linuxシステムでビルドして使用することが出来ます。例えば、RPMやDebパッケージが上述のGitHubからダウンロードしてインストールすることが出来ます。

Microsoftの提供している多くのAzureVirtual Machine(VM)管理サービスの共通コンポーネントとして、バックボーンでこのOMIを利用しています。例えばVM管理の拡張機能では、このフレームワークを使用して、LinuxVMでの構成管理とログ収集を調整しています。

そのため、今回の脆弱性により、「5. What」で記載されたサービスを使用している場合に影響が出ます(Microsoft Security Research Centerの情報より)。

修正バージョン

OMI v1.6.8-1 により修正されています。

確認方法

Azure Security Center(ASC)から確認できます。

マルウェア

現在(2021/10/03)、Mirai Botが本脆弱性を使用して攻撃を行っているという情報が上がっています。

参考情報

OMIGOD ブログ : (wiz社情報)

Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions :(Microsoft Security Research Center)

7. Why(なぜ)

N/A

8. How(どのように)

Wiz社の研究者チームによる、OMIソースコードの精査により脆弱性が発見された。

わかりやすい動画がこちらのWiz社のサイトでgifで見ることが出来る。

  • OMIGODリモートコード実行(CVE-2021-38647)脆弱性は以下のような手順で再現される
    1. 有効なlowレベルのユーザで攻撃先に実行コードを送る
    2. 無効な認証ヘッダで攻撃先に実行コードを送る
    3. 認証ヘッダ無しで攻撃先に実行コードを送るとrootでコードが実行される。

8. 被害範囲

PaaSユーザに関しては、VMの拡張機能を顧客に対して透過的に更新済み。オンプレミスでOMI又は拡張機能を使用しているユーザに関しては、ガイダンスに従いパッケージ更新の必要がある。

また、IBM QRadarが本件の影響を受けている。

脆弱性があるVMの確認方法

  1. Azure Security Center(ASC)を使用してAzureVM 管理Extensionの脆弱性があるマシンを見つける方法を参考に確認します。
  2. 脆弱性のある拡張機能のAzureVMを特定するには、この記事の説明に従ってAzurePortalまたはAzureCLIを利用します。 報告された拡張バージョンが、5. Whereの表の「修正済み拡張バージョン」にあるバージョン以上の場合、それ以上のアクションは必要ありません。
  3. 脆弱性のあるVMのAzureサブスクリプションをスキャンするには、ここのスクリプトを使用します。 このスクリプトは、upgradeOMIパラメーターを使用して影響を受けるVMにパッチを適用するためにも使用できます。

脆弱性の修正方法

拡張機能の更新:5.Whereにある表に従って、クラウドおよびオンプレミス展開の脆弱な拡張機能を更新する必要があります。 リージョン内の新しいVMは、作成時にこれらの脆弱性から保護されます。 MicrosoftはAzureリージョン全体に拡張機能の更新を展開しました。 拡張機能の自動更新は、再起動せずに透過的にパッチが適用されています。拡張機能の自動更新が有効になっていることを確認しましょう。 自動更新の構成を評価するには、AzureのVMとスケールセットの自動拡張アップグレードを参照してください。

脆弱性が利用されたかの確認方法

この脆弱性を利用してコマンドをリモートで実行する攻撃者は、SCXcoreサービスによってコマンドを実行します。 SCXcoreプロバイダーは、AIX 6.1以降、HP-UX 11.31以降、Solaris 5.10以降、およびRedHat 5.0、SuSE 10.1、Debian5.0以降のLinuxのほとんどのバージョンで動作します。 SCXには、ExecuteShellCommandという名前のRunAsProviderがあります。 ExecuteShellCommand RunAsProviderは、/bin/shシェルを使用してUNIX/Linuxコマンドを実行します。

  • 監査を有効にしてexecveログを収集している場合は、作業ディレクトリ「/ var / opt / microsoft / scx / tmp」から実行されているコマンドを探します。
  • SCXadminツールのロギングを有効にすることもできます。 「/opt/microsoft/scx/bin/tools/scxadmin -log-set all verbose」コマンドを使用してログを有効にすると、/var/opt/microsoft/scx/log/scx.logに実行されたコマンドが表示されます。 実行されたコマンドを確認するには、Invoke_ExecuteShellCommandをgrepします。

攻撃の痕跡に関するより詳しい情報はMicrosoft社の「Hunting for OMI Vulnerability Exploitation with Azure Sentinel」を参考にしましょう。

Azure Market Placeへの影響

Microsoftは、脆弱性のあるOMIフレームワークがインストールされているAzureマーケットプレイスVMのサブセットを特定しました。Microsoftは、影響を受けるVMイメージを利用しているお客様にAzure Service Health Notificationsを公開して、リソースを修正する方法に関するガイダンスを提供しています。Microsoftはまた、マーケットプレイスのパブリッシャーに、更新されたOMIフレームワークを使用した新しいバージョンをリリースするように通知しました。

参考情報

Additional Guidance Regarding OMI Vulnerabilities within Azure VM Management Extensions :(Microsoft Security Research Center)

Hunting for OMI Vulnerability Exploitation with Azure Sentinel:(Microsoft Security Research center)

9. 確認方法

Azureクラウド上でインスタンスを使用している場合には、該当サービスを使用していないかを確認する。 また、オンプレミスでOMIサービスを使用している場合には、OMIパッケージのバージョンをLinux/Unixコマンドで確認する。

10. 回避策

暫定回避策として、下記方法がある。

CVE-2021-38647(リモートコード実行)に関する暫定回避策としては、ポート5985, 5986, 1270へのアクセスをファイアウォール等で絞り、必要最低限のアクセス元からのアクセスのみを許可する。

11. 対比策

5. Whereにも記載しているが、「OMI」コンポーネントを最新バージョンにアップデートする。


セキュリティ系連載案内

日々のメモを更新しています。

セキュリティ関係で気になったニュースの備忘録を兼ねたメモを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2021併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2021の企画講演セッション及び、 一般論文セッションをさせていただきます。

今年もオンラインでの開催となり、OWSトラックの一般論文セッションと企画セッションを行いますので,ご参加よろしくお願いいたします。

https://www.iwsec.org/ows/2021/


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

Apache HTTP Serverの脆弱性情報(Critical: CVE-2021-42013, Important: CVE-2021-41773, Moderate: CVE-2021-41524) (PoCつき)と新バージョン(2.4.51)

次へ

日経Linux 2021年11月号で記事を書きました