Le vulnerabilità di Open Management Infrastructure minacciano i dispositivi virtuali Linux su Microsoft Azure

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 20/09/2021
 
 

L’agente Open Management Infrastructure, che contiene quattro vulnerabilità, viene installato automaticamente sulle macchine Linux virtuali su Microsoft Azure

 

 
 
 

È emersa la notizia di una pratica piuttosto pericolosa in Microsoft Azure, secondo la quale quando un utente crea una macchina virtuale Linux e abilita alcuni servizi Azure, la piattaforma Azure installa automaticamente l’agente Open Management Infrastructure (OMI) sul dispositivo, senza che l’utente se ne accorga.

Anche se un’installazione “furtiva” potrebbe sembrare una cattiva idea a priori, in realtà non sarebbe così male se non fosse per due problemi: in primo luogo, l’agente ha vulnerabilità note e, in secondo luogo, non ha un meccanismo di aggiornamento automatico su Azure. Finché Microsoft non risolverà questo problema, le aziende che utilizzano dispositivi virtuali Linux su Azure dovranno prendere provvedimenti.

Vulnerabilità nell’infrastruttura di Open Management e come possono essere sfruttate dai cybercriminali

Nel Patch Tuesday di settembre, Microsoft ha rilasciato aggiornamenti di sicurezza per quattro vulnerabilità presenti nell’agente Open Management Infrastructure. Una di esse, CVE-2021-38647, permette l’esecuzione di un codice da remoto (RCE) ed è critica, mentre le altre tre, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649, possono essere utilizzate per ottenere  maggiori privilegi  di accesso (LPE – Local Privilege Escalation) in attacchi multifase. Ciò è possibile nel caso in cui i criminali informatici si siano intrufolati previamente nella rete della vittima. Queste tre vulnerabilità hanno un punteggio elevato nel CVSS.

Quando gli utenti di Microsoft Azure creano una macchina virtuale Linux e abilitano una serie di servizi, OMI (e le sue vulnerabilità) si distribuisce automaticamente nel sistema. I servizi includono Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, un elenco che purtroppo è tutt’altro che completo. L’agente Open Management Infrastructure da solo ha i privilegi più alti nel sistema, e poiché i suoi compiti includono la raccolta di statistiche e la sincronizzazione delle configurazioni, è generalmente accessibile da Internet attraverso varie porte HTTP, a seconda dei servizi abilitati.

Per esempio, se la porta di ascolto è la 5986, i cybercriminali potrebbero potenzialmente sfruttare la vulnerabilità CVE-2021-38647 ed eseguire un codice dannoso da remoto. Se OMI è disponibile per la gestione remota (attraverso le porte 5986, 5985, o 1270), i cybercriminali possono sfruttare la stessa vulnerabilità per ottenere l’accesso all’intera rete locale in Azure. Gli esperti sostengono che la vulnerabilità sia molto facile da sfruttare.

 

 

Finora non sono stati segnalati attacchi in the wild, ma con le tante informazioni disponibili su come potrebbe essere facile sfruttare queste vulnerabilità, probabilmente non ci vorrà molto.

Come difendersi

Microsoft ha rilasciato delle patch per tutte e quattro le vulnerabilità. Tuttavia, OMI non si aggiorna sempre automaticamente, quindi dovrete controllare quale versione è presente sulla vostra macchina virtuale Linux. Se la versione è precedente alla 1.6.8.1, aggiornate l’agente Open Management Infrastructure. Per sapere come, potete consultare la descrizione della vulnerabilità CVE-2021-38647.

Gli esperti raccomandano anche di limitare l’accesso alla rete alle porte 5985, 5986 e 1270 per impedire a chiunque di eseguire attacch di esecuzione del codice da remoto (RCE, Remote Code Execution).

21 Settembre 2021

Linux.Encoder.1 il primo ransomware per Linux

Nel mese di novembre è stato segnalato Linux.Encoder.1, il primo ransomware per Linux.linux

Quando viene avviato con privilegi di amministrazione, il programma carica in memoria due file che contengono le istruzioni per l’attacco:

  • ./readme.crypto
  • ./index.crypto

Dopo questo il ransomware riceve la chiave pubblica RSA ed avvia il processo di crittografia solo dei file alcune estensioni.

Il malware cerca di colpire le cartelle personali dell’utente, database, webserver e pagine web operando sulle directory:

  • /home
  • /root
  • /var/lib/mysql
  • /var/www
  • /etc/nginx
  • /etc/apache2
  • /var/log
  • public_html
  • www
  • webapp
  • backup
  • .git
  • .svn

Mentre invece non effettua la crittografia delle seguenti directory:

  • /
  • /root/
  • .ssh
  • /usr/bin
  • /bin
  • /etc/ssh

Linux.Encoder.1 usa la crittografia asimmetrica RSA e la crittografia AES a 128 bit, ai file crittografati viene aggiunta l’estensione “.encrypted”

Il malware usa la funzionalità rand() della libreria libc che usa il timestamp come seme per generare le chiavi crittografiche.

Questo dettaglio è stato presto scoperto ed ha reso “prevedibile” la chiave utilizzata per la crittografia, dando l’opportunità ai tool di decodificare il contenuto dei file senza dover “pagare” per riscattare i file.

7 Aprile 2016

Servizio di protezione anti-malware per piccole aziende

Abbiamo già affrontato il tema della protezione nelle aziende Quale soluzione anti-malware per la mia azienda ed analizzato come le piccole aziende siano da un certo punto di vista più vulnerabili rispetto alle grandi aziende.

Questa vulnerabilità nasce oltre che da scelte di strumenti per la mitigazione (Come agire di fronte al rischio informatico) del rischio spesso non adeguati, anche da una cattiva gestione di questi strumenti.

Gli strumenti anti-malware moderni, sono strumenti molto complessi, che devono essere adeguatemente configurati e costantemente monitorati, affinché possano assolvere a pieno il loro compito.

Purtroppo aziende di piccole dimensioni, hanno budget veramente ridotti per la sicurezza informatica, e quasi mai hanno delle persone dedicate a seguire questi aspetti e che comunque abbiano competenze sui problemi e sulle soluzioni implementate.

Il risultato è che le soluzioni vengono installate, utilizzate con configurazioni di default, e mai più verificate. In questa maniera il rischio di subire attacchi è veramente elevato, non per l’inadeguatezza dello strumento, ma per la mancata messa a punto e revisione.

Argonavis propone una soluzione dedicata alle piccole aziende, offre la possibilità di impiegare gli avanzati sistemi di rilevamento e rimozione del malware Kaspersky, delegando alla struttura tecnica Argonavis la gestione della protezione, il controllo e la risoluzione dei problemi che possono venirsi a creare.

La soluzione prevede l’installazione dei normali software di protezione aziendale KasperskyLab: Kaspersky Endpoint Security for Windows, for Mac o for Linux, sia su client che su server senza nessuna limitazione, inoltre viene installato un piccolo agente: Kaspersky Network Agent, che dialoga con un server nel datacenter di Argonavis.ksc

Il Network Agent ha il compito di inviare sul server Argonavis, tutti gli eventi generati da Kaspersky Endpoint Security, permettendo una analisi dell’installazione e la ricerca di eventuali problemi.

Il reparto tecnico Argonavis ha tecnici certificati KasperskyLAB e molta esperienza sulle installazioni Kaspersky, su grandi e piccoli clienti, ed è in grado di analizzare e risolvere gli eventuali problemi dovessero sorgere.

E’ sufficiente un endpoint che non effettua l’aggiornamento delle firme e dell’applicazione per richiare di compromettere l’intera rete aziendale.

Argonavis ti offre allo stesso prezzo della licenza Kaspersky, la possibilità di utilizzare lo stesso prodotto ed il servizio di consulenza sul prodotto anti-malware Kaspersky.

Affidati alla competenza ed esperienza di Argonavis per ottenere il massimo della protezione per la tua struttura aziendale anche quando non hai abbastanza risorse da dedicare alla sicurezza informatica.

Richiedi Informazioni

26 Agosto 2015

Collegare un pc direttamente all’antenna di EOLO

In alcuni casi (ad esempio quando ci vogliamo determinare con precisione la banda realmente disponibile) occorre collegare un PC direttamente all’antenna di EOLO.

Dopo aver collegato secondo lo schema, la scheda di rete del PC all’interfaccia ethernet sull’alimentatore dell’antenna, tramite un tramite cavo di rete “cross” (incrociato)

collegare antenna eolo

occorre configurare una connessione PPPoE sul proprio PC.

Windows XP

  • Click su Start;
  • Click su Pannello di controllo;
  • Click su “Passa alla visualizzazione classica” in alto a sinistra. Se è presenta la voce “Passa alla visualizzazione per categorie” il cambio non è necessario;
  • Click su Connessioni di Rete;
  • Click su “Crea una nuova connessione” a sinistra;
  • Click su “Connessione ad Internet”;
  • Click su “Imposta connessione manualmente”;
  • Click su “Connessione a banda larga con immissione di nome utente e password”;
  • Scegliere il nome della connessione (ad esempio “EOLO”) tramite la voce “ISP”;
  • Compilare il campo “nome utente” con la login della connessione;
  • Compilare il campo “password” rispettando maiuscole e minuscole;
  • Per creare un collegamento rapido alla connessione selezionare “Aggiungi collegamento a questa connessione sul desktop”.
    Per le successive autenticazioni click sull’icona appena creata sul desktop

Windows Seven

  • Click su “Start”;
  • Click su “Pannello di controllo”;
  • Click su “Rete e Internet”;
  • Click su “Centro connessioni di rete e condivisioni”;
  • Click su “Configura nuova connessione o rete”;
  • Click su “Connessione a Internet”;
  • Click su “Banda Larga (PPPoE)”
  • Compilare il campo “nome utente” con la login della connessione;
  • Compilare il campo “password” rispettando maiuscole e minuscole;
  • Selezionare “Memorizza password”;
  • Scegliere il nome della connessione (ad esempio “EOLO”);
    Per le successive autenticazioni click sull’icona delle reti disponibili (in forma di computer stilizzato) in basso a destra (a fianco dell’orologio).

MacOSX

  • Click sulla “mela” in alto;
  • Click su “Preferenze di Sistema”;
  • Click su “Network”;
  • Click su “Ethernet integrata”;
  • Click su “Configura” e su “Crea servizio PPPoE”;
  • Compilare il campo “Nome servizio PPPoE” (ad esempio “EOLO”);
  • Compilare il campo “nome utente” con la login della connessione;
  • Compilare il campo “password” rispettando maiuscole e minuscole;
  • Click su “applica”;
  • Chiudere “Preferenze di Sistema”;
    Per le successive autenticazioni click sull’icona nella barra dei menu e su “connetti”.

Linux

  • Digitare da terminale “sudo pppoeconf”, comando che porta alla procedura guidata di
    configurazione;
  • Viene ricercata la scheda di rete che sarà utilizzata per la connessione;
  • Inserire la login e la password della connessione, rispettando maiuscole e minuscole;
  • Selezionare “Sì” a tutte le successive domande;
    In questo modo la connessione è impostata come automatica. Per attivarla manualmente invece, utilizzare il comando “sudo pon dsl-provider”, mentre per chiuderla “sudo poff dsl-provider”.

Scopri se la tua azienda è già coperta dal servizio di connettività a banda Ultralarga EOLO e contattaci per ottenere l’offerta commerciale più adatta alle esigenze della tua azienda

Verifica di copertura

 

29 Maggio 2015