Miraiボットネットへのドアを開けるOMIGOD

Microsoftは9月に86件の脆弱性に対する修正プログラムをリリースしていますが、その中でも単純かつ脆弱性を悪用される可能性が高く、注意喚起が特に必要なものがありました。

OMIGOD」と呼ばれるこの脆弱性は、多くのAzureのサービスに自動的に導入されている「Open Management Infrastructure」と呼ばれるソフトウェアエージェントに影響を与えます。

CVE-2021-38647 (CVSS score: 9.8) – Open Management Infrastructure Remote Code Execution Vulnerability

CVE-2021-38648 (CVSS score: 7.8) – Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38645 (CVSS score: 7.8) – Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38649 (CVSS score: 7.0) – Open Management Infrastructure Elevation of Privilege Vulnerability

Azure AutomationAzure Automatic UpdateAzure Operations Management Suite (OMS)Azure Log AnalyticsAzure Configuration ManagementAzure Diagnostics のユーザーなど、Linux マシンを使用している Azure ユーザーにとって、この脆弱性を悪用される潜在的なリスクがあります。OMIは、Azure外のオンプレミスのLinuxシステムにもインストールすることができます。

The Remote Code Executionは非常にシンプルで、authヘッダーを削除するだけで、すべてのマシンでリモートでルートアクセスが可能になります。この脆弱性により、攻撃者は対象となるAzure環境への最初のアクセスが可能となり、ラテラルに移動することができます。

Campaign: Multiple CVE’s Affecting the Azure OMI Agent Dubbed OMIGOD 出典: MVISION Insights

多くのセキュリティ研究者が、これらの脆弱性を利用した概念実証の攻撃を公開したところ、その後すぐにアクターがこの取り組みを模倣し、最近ではボットネットの活動を介してCVE-2021-38647を悪用していることが確認されています。

Background on the Mirai Botnet and related campaigns 出典: MVISION Insights

このようなボットネットの一つがMiraiです。OMIGODとして特定されたものを含む脆弱性をスキャンすることで、運用者がシステムに感染し、接続された機器に拡散することを可能にしています。Miraiボットネットが脆弱なマシンを悪用した場合、運用者はMirai DDoSボットネットのバージョンを1つ落とし、インターネット上ポート5896を閉じて、他の攻撃者が同じボックスを悪用するのを防ぎます。OMIGODの悪用に成功したという報告においては、影響のあったシステムにクリプトマイナーが展開されていることが報告されています。


McAfee Enterpriseがカバーする対象範囲と推奨される緩和策

Microsoftには自動アップデートの仕組みがないため、悪用を防ぐにはエージェントの手動アップグレードが必要です。マイクロソフトでは、OMIバージョン(1.6.8.1)にパッチを適用しています。推奨される対策について、以下のリンクを参照してください。

CVE-2021-38647 – Open Management Infrastructure Remote Code Execution Vulnerability

当社では、CVE-2021-38647に関する製品のカバーについて、以下のKBを継続的に更新していきます。更新の通知を受け取るには、KBを購読してください。

McAfee Enterprise coverage for CVE-2021-38647 Remote Code Execution Vulnerability


OMIエージェントに脆弱性のあるシステムの識別

環境内にある脆弱なシステムを特定するため、McAfee Enterpriseではポート5986 をリッスンしているシステムのスキャンを推奨します。ポート5986 は、OMIエージェントが利用する代表的なポートです。また、 Wiz Research groupの情報では、デフォルトではないポート5985とポート1270を使用している脆弱なシステムが指摘されています。RCEの脆弱性から保護するために、これらのポートへのネットワークアクセスをすぐにに制限することを推奨します。


MVISION Insightsによる脅威活動の検出

現在も継続中のOMIGODを悪用した脅威について、MVISION Insightsは、定期的に脅威情報を更新して提供しています。また、「Multiple CVE’s Affecting the Azure OMI Agent Dubbed OMIGOD」キャンペーンでは、最新のGlobal Prevalence、IOCs、MITREの技術が公開されています。MVISION Insights内のIOCは、MVISION EDR(Endpoint Detection & Response)のReal-time Search機能で利用することが可能です。Linuxエンドポイント環境全体をプロアクティブに検索、検出することができます。

世界中のOMIGODの被害状況 出典: MVISION Insights
OMIGODに関連する被害(Indicators of Compromise)  出典: MVISION Insights


McAfee ENS Firewallのポートのブロック

OMIエージェントが解決済みのバージョンにアップデートされるまで、McAfee ENS Firewall Rulesで特定のポートをブロックするカスタムルールを作成可能です。以下のスクリーンショットは、OMIエージェントに関連するポートをブロックするルールのサンプルです。

Creation of Block Rule for OMI Agent Ports (McAfee ENS Firewall)


Locating Systems Running OMI with MVISION EDR

MVISION EDRのリアルタイム検索機能は、お客様のLinux環境全体を複数の異なるパラメータを使って検索し、潜在的なターゲットとなりうるシステムを特定することが可能です。

事前に作成された、以下のようなクエリを実行することで、OMIエージェントの指定されたポートをリッスンしているシステムを特定し、エンドポイントにインストールされているOMIエージェントのバージョンを確認することができます。

Processes and CurrentFlow and HostInfo hostname where Processes name equals omiengine

Software and HostInfo hostname where Software displayname contains om

MVISION EDRでLinuxエンドポイントにインストールされたOMIのソフトウェアのバージョンを確認

MVISION EDRでOMIのトラフィックとユーザー情報を監視


MVISION CNAPPによる脆弱性の検知とConfiguration Audits

MVISION CNAPP(Cloud Native Application Protection Platform)を用いて、オンデマンドで脆弱性スキャンを行い、セキュリティコンフィグレーションの監査を行うことにより、クラウド基盤上の脆弱なシステムを特定する方法もあります。次のスクリーンショットのように、CWPPおよびCSPM機能を使用してCVE番号により脆弱性システムを特定し、Microsoft Azureでの「root」アカウントの使用を検出します。

脆弱性スキャンを実行、CVEによって脆弱性のあるシステムを特定

Microsoft Azureのルートアクセスを警告するセキュリティコンフィギュレーション設定

 

※本ページの内容は2021年9月22日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: McAfee Enterprise Defender Blog | OMIGOD Vulnerability Opening the Door to Mirai Botnet
著者: Taylor Mullins and Mo Cashman