Log4j Resource Center

脅威に関する情報: OMI の脆弱性(CVE-2021-38645、CVE-2021-38647、CVE-2021-38648、CVE-2021-38649)について

A conceptual image associated with the threat brief series, such as this post covering recent OMI vulnerabilities and how to remediate.

This post is also available in: English (英語)

概要

2021年9月14日にMicrosoft Security Response Center(MSRC)、Microsoft AzureパッケージのOpen Management Infrastructure(OMI)に影響を与える4つの重大(Ctritical)な脆弱性の発見を詳細に説明したセキュリティ更新プログラムを公開しました。オープンソースのOMIパッケージは、診断モニタリング、ログ分析サービス、UNIXやLinuxシステム内の自動化機能など、Webベース管理ツールのためのポータブルなインフラストラクチャバックボーンを提供するように設計されています。OMI は、Microsoft Azure により、Azureの仮想マシン(VM)、コンテナ、サーバーレスクラウドインスタンス内のUNIXパッケージ管理に使われています。Microsoftのセキュリティリリースノートによると、2021年8月11日以降に作成されたシステム、またはOMIパッケージを更新したシステムには、自動的に修正プログラムが適用されます。

OMIにおける4つの重大な脆弱性

Wizのセキュリティリサーチャーによって発見された4つの重大な脆弱性は、認証されていないリモートコード実行(RCE)が1つと特権昇格の脆弱性が3つです。

「OMIGOD」と名付けられたこの4つの脆弱性は、以下のAzureサービスを使用しているAzureクラウドインスタンスに直接影響することが判明しました。

  • Azure Automation
  • Azure Automatic Update
  • Azure Operations Management Suite
  • Azure Log Analytics
  • Azure Configuration Management
  • Azure Diagnostics

Prisma Cloud Compute Defenderエージェントは、任意のAzureシステムが4つのCVEのいずれかに対して脆弱であるかどうかを検出可能です。さらに、Prisma Cloudのユーザーは、カスタムの脆弱性検出ルールを作成して1.6.8.1より前のバージョンのOMIパッケージを実行しているシステムを特定できます。

カスタム脆弱性検出ルールを作成するには、Prisma Cloudを開いて以下のページに移動します。

  • Compute > Manage > System > Custom Feeds > Custom Vulnerabilities > Import CSV
  • csvファイルを作成し、そのファイルに以下のテキストを入力します。

パロアルトネットワークス の Azure ベースのVMーSeries/CN-Seriesの Firewall インスタンスは OMI パッケージを使用していないため、OMI の重大な脆弱性の影響を受けません。

緩和策

Prisma Cloudは、OMIの重大な脆弱性に対して脆弱なOMIパッケージを持つすべてのシステムに対してアラートを作成します。システムに脆弱性があると確認された場合、そのAzure Cloud Instanceに対して以下の手順を実行する必要があります。

  1. SSH 経由で Azure インスタンスにログオンします。
  2. 次のコマンドを実行します。
    1. Debian – sudo apt list omi
    2. CentOS – sudo yum list omi
  3. OMIのバージョンが1.6.8.1未満であるかどうかを確認します。
  4. システムが古いバージョンのOMIを使用している場合は、OMIのGitHubページに記載されている手順を実行します。

結論

2021年9月14日、Wizのセキュリティリサーチャーは、Microsoft AzureのパッケージOMIに影響を与える4つの重大な脆弱性の発見を詳細に記したレポートを公開しました。「OMIGOD」と名付けられたこの4つの脆弱性は、Azure Cloud Instancesに直接影響することが判明しています。パロアルトネットワークス の Azure ベースの VM-Series / CN-Series Firewall のインスタンスは OMI パッケージを使用していないため、OMI の重大な脆弱性の影響を受けません。Prisma Cloudのお客様は、脆弱性を検出するためのアラートを作成することができます。

追加資料