Vent de panique sur les environnements Azure

Microsoft a entamé, ce mardi 14 septembre, la distribution de son lot mensuel de correctifs de vulnérabilités. On trouve là notamment des correctifs pour la vulnérabilité CVE-2021-40444, liée à ActiveX, et d’autres affectant le spooler d’impression de Windows, bouchant enfin la faille PrintNightmare. Mais il y a plus.

Dans le lot se trouvent des correctifs pour les vulnérabilités CVE-2021-38647, CVE-2021-38648, CVE-2021-38645 et CVE-2021-38649. Elles constituent ce que Wiz.io a découvert et baptisé Omigod.

Sur Twitter, Ami Luttwak, directeur technique de Wiz.io, souligne la simplicité d’exploitation : une simple requête HTTP suffit pour réussir à exécuter à distance du code arbitraire sur un hôte affecté.

En fait, Omigod concerne un agent d’administration déployé sur certaines machines virtuelles Linux instanciées sur Azure, explique Wiz.io, dans un billet de blog : l’agent OMI, pour Open Management Infrastructure. Cet agent est notamment déployé sans tambour ni trompette lorsque les services suivants sont utilisés : Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics.

Selon Wiz.io, plusieurs milliers de clients Azure et plusieurs millions d’hôtes pourraient être concernés : « sur un petit échantillon de tenants Azure que nous avons analysés, plus de 65 % étaient concernés ». Qui plus est, OMI est utilisé par System Center pour Linux : les environnements Azure ne sont donc pas les seuls concernés.

Les correctifs sont disponibles, mais encore faudra-t-il les appliquer. Surtout, il conviendra de vérifier que la version corrigée d’OMI est bien déployée sur ses nouvelles machines virtuelles. Kevin Beaumont, expert cybersécurité, a fait le test ce 15 septembre : une machine virtuelle Linux toute fraîche a été instanciée avec une version vulnérable de l’agent OMI.