Varias vulnerabilidades críticas en la pila OMI (Open Management Infrastructure) afectarían a la confidencialidad, integridad y disponibilidad de una gran parte de instalaciones de Azure.

OMI (Infraestructura de Gestión Abierta en español) es un proyecto de código abierto para la implementación de interfaces WBEM (administración empresarial basada en web)/CIM (modelo de información común). OMI es utilizado de forma intensiva por Microsoft en su plataforma Azure, que cuenta con millones de usuarios en todo el mundo.

Recientemente, el equipo de investigadores de Wiz ha encontrado varias vulnerabilidades críticas en la pila OMI (Open Management Infrastructure) que afectarían a la confidencialidad, integridad y disponibilidad de una gran parte de instalaciones de Azure.

Las vulnerabilidades descritas a continuación destacan por su facilidad de explotación, permitiendo a un atacante remoto ejecutar código arbitrario y elevar privilegios a administrador utilizando una única petición.

El fallo afecta a múltiples productos de Azure, entre ellos:

• Azure Automation
• Azure Automatic Update
• Azure Operations Management Suite
• Azure Log Analytics
• Azure Configuration Management
• Azure Diagnostics

Todos estos productos tienen en común el uso intensivo de la pila OMI para administrar los diferentes servicios que funcionan en máquinas virtuales.

La primera vulnerabilidad recibe el código CVE-2021-38647 y permitiría la ejecución remota de código. Para ello, el atacante sólo tendría que eliminar la cabecera correspondiente a la autenticación para poder ejecutar su petición con los privilegios por defecto: uid=0, gid=0 (IDs que corresponden al usuario ‘root’). De esta forma sería trivial hacerse con el control de una instalación que exponga el puerto HTTPS del administrador de OMI (5986/5985/1270). Que en el caso de algunos productos de Azure (Azure Configuration Management o System Center Operations Manager) es la configuración por defecto.

La siguiente vulnerabilidad funciona de forma similar a la anterior y permitiría a un atacante remoto escalar privilegios omitiendo las cabeceras de autenticación de la petición emitida por el cliente ‘omicli’. El fallo ha recibido el código CVE-2021-38648.

Por otro lado, aunque la dificultad de explotación es mayor, otras dos vulnerabilidades CVE-2021-38645 y CVE-2021-38649 permitirían a un atacante remoto no autenticado escalar privilegios a administrador y aprovechar alguna otra vulnerabilidad para conseguir la ejecución de código.

Estas vulnerabilidades, las cuales hemos nombrado anteriormente en Una Al Día, son especialmente interesantes para un atacante. Primero porque los productos de Azure son ampliamente utilizados en todo el mundo, lo que supone una gran superficie de ataque. Por otro lado, la facilidad de explotación permitiría llevar a cabo ataques más masivos e incluso extenderlos a nuevos objetivos.

Se recomienda a todos los usuarios de OMI o Azure comprobar si sus activos están afectados y aplicar cuanto antes el parche v1.6.8-1 publicado por Microsoft.

Más información:

OMIGOD: Critical Vulnerabilities in OMI Affecting Countless Azure Customers