脆弱性

脅威に関する情報: OMI の脆弱性（CVE-2021-38645、CVE-2021-38647、CVE-2021-38648、CVE-2021-38649）について

< 1 min read

概要

2021年9月14日にMicrosoft Security Response Center（MSRC）は、Microsoft AzureパッケージのOpen Management Infrastructure（OMI）に影響を与える4つの重大（Ctritical）な脆弱性の発見を詳細に説明したセキュリティ更新プログラムを公開しました。オープンソースのOMIパッケージは、診断モニタリング、ログ分析サービス、UNIXやLinuxシステム内の自動化機能など、Webベース管理ツールのためのポータブルなインフラストラクチャバックボーンを提供するように設計されています。OMI は、Microsoft Azure により、Azureの仮想マシン（VM）、コンテナ、サーバーレスクラウドインスタンス内のUNIXパッケージ管理に使われています。Microsoftのセキュリティリリースノートによると、2021年8月11日以降に作成されたシステム、またはOMIパッケージを更新したシステムには、自動的に修正プログラムが適用されます。

OMIにおける4つの重大な脆弱性

Wizのセキュリティリサーチャーによって発見された4つの重大な脆弱性は、認証されていないリモートコード実行（RCE）が1つと特権昇格の脆弱性が3つです。

「OMIGOD」と名付けられたこの4つの脆弱性は、以下のAzureサービスを使用しているAzureクラウドインスタンスに直接影響することが判明しました。

Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics

Prisma Cloud Compute Defenderエージェントは、任意のAzureシステムが4つのCVEのいずれかに対して脆弱であるかどうかを検出可能です。さらに、Prisma Cloudのユーザーは、カスタムの脆弱性検出ルールを作成して1.6.8.1より前のバージョンのOMIパッケージを実行しているシステムを特定できます。

カスタム脆弱性検出ルールを作成するには、Prisma Cloudを開いて以下のページに移動します。

Compute > Manage > System > Custom Feeds > Custom Vulnerabilities > Import CSV
csvファイルを作成し、そのファイルに以下のテキストを入力します。

name,type,package,minVersionInclusive,maxVersionInclusive,md5
OMIGOD,package,omi,*,1.6.8.0,

1 2	name,type,package,minVersionInclusive,maxVersionInclusive,md5 OMIGOD,package,omi,*,1.6.8.0,

パロアルトネットワークスの Azure ベースのVMーSeries/CN-Seriesの Firewall インスタンスは OMI パッケージを使用していないため、OMI の重大な脆弱性の影響を受けません。

緩和策

Prisma Cloudは、OMIの重大な脆弱性に対して脆弱なOMIパッケージを持つすべてのシステムに対してアラートを作成します。システムに脆弱性があると確認された場合、そのAzure Cloud Instanceに対して以下の手順を実行する必要があります。

SSH 経由で Azure インスタンスにログオンします。
次のコマンドを実行します。
1. Debian – sudo apt list omi
2. CentOS – sudo yum list omi
OMIのバージョンが1.6.8.1未満であるかどうかを確認します。
システムが古いバージョンのOMIを使用している場合は、OMIのGitHubページに記載されている手順を実行します。

結論

2021年9月14日、Wizのセキュリティリサーチャーは、Microsoft AzureのパッケージOMIに影響を与える4つの重大な脆弱性の発見を詳細に記したレポートを公開しました。「OMIGOD」と名付けられたこの4つの脆弱性は、Azure Cloud Instancesに直接影響することが判明しています。パロアルトネットワークスの Azure ベースの VM-Series / CN-Series Firewall のインスタンスは OMI パッケージを使用していないため、OMI の重大な脆弱性の影響を受けません。Prisma Cloudのお客様は、脆弱性を検出するためのアラートを作成することができます。