Microsoft Azure-Schwachstelle OMIGOD in Linux VMs

Mitglied: kgborn
Falls jemand Linux VMs unter Microsoft Azure nutzt: Dort werden stillschweigend OMI-Agenten installiert. Diese haben aber in der ungepatchten Version vier schwere Sicherheitslücken, die Angreifern die Remote Code-Ausführung mit root-Rechten ermöglichen. Da es keine Update-Mechanismen über Azure gibt, müssen Administratoren selbst prüfen, ob die OMI-Agenten aktuell sind. #Sicherheit #OMIGOD

Microsoft Azure-Schwachstelle OMIGOD in Linux VMs patchen

Content-Key: 1263307472

Url: https://administrator.de/contentid/1263307472

Ausgedruckt am: 23.09.2021 um 10:09 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.09.2021 aktualisiert um 18:02:08 Uhr
Goto Top
Moin,

wollte es vorhin auch schon reinschreiben.

Hübsche KOmmentare gibt es auch von Fefe dazu:


Wenn man beim Azure--Agenten Username und Paßwort wegläßt, ist man root. :-) face-smile

Und Sadya Nadella liefert dazu:

The future of security is passwordless

Da haben die Entwickler das wohl etwas zu wörtlich genommen.

lks

PS: Wenn das seit Juni offen rumsteht und die Kunden das erst jetzt gesagt bekommen, weiß man was man von solchen Cloud-Serverices wie Azure zu halten hat.
Mitglied: C.R.S.
C.R.S. 15.09.2021 um 20:23:15 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

PS: Wenn das seit Juni offen rumsteht und die Kunden das erst jetzt gesagt bekommen, weiß man was man von solchen Cloud-Serverices wie Azure zu halten hat.

Sie verteilen immer noch die verwundbare Version. Mehr als peinlich.
Mitglied: 7Gizmo7
7Gizmo7 15.09.2021 um 22:28:27 Uhr
Goto Top
Zitat von @C.R.S.:


Sie verteilen immer noch die verwundbare Version. Mehr als peinlich.

Sicher , hast du mal eine neue Linux VM deployed ? MS Patch die VM‘s ja automatisch ..

Ich verstehe auch immer nicht , warum Azure Kunden alle ihre Ressourcen in das Internet stellen und alle Ports öffnen, mit onPremise Infrastruktur macht man das auch nicht , wieviele Sicherheitslücken gibt es in onPremise Systemen ..,

Mit freundlichen Grüßen
Mitglied: C.R.S.
C.R.S. 16.09.2021 um 00:26:42 Uhr
Goto Top
Zitat von @7Gizmo7:

Zitat von @C.R.S.:


Sie verteilen immer noch die verwundbare Version. Mehr als peinlich.

Sicher , hast du mal eine neue Linux VM deployed ? MS Patch die VM‘s ja automatisch ..

Natürlich, heute Vormittag in North Europe, Ubuntu 18.04 LTS und Azure Automation.

Ich verstehe auch immer nicht , warum Azure Kunden alle ihre Ressourcen in das Internet stellen und alle Ports öffnen, mit onPremise Infrastruktur macht man das auch nicht , wieviele Sicherheitslücken gibt es in onPremise Systemen ..,

Das machen sicher die wenigsten relevaten Azure-Kunden. Die Schwachstelle ist in einem privaten Netz schlimm genug.
Es gibt ein schon ein spezifisches Risiko von Fehlkonfigurationen bei Cloud-Deployments das letztlich auf die Motivation zurückzuführen ist, aus der Cloud-Services überhaupt eingesetzt werden: Reduktion der eigenen operativen Tätigkeit auf ein Kerngebiet und Konzentration dessen, was nach dieser Philosophie "übersteht", in Ansätzen wie "DevOps" oder "DevSecOps". Wenn dadurch ein Bottleneck ins Unternehmen eingebracht wird, und die Gefahr ist groß, wird der Schritt selten als Fehloptimierung erkannt und eher werden durch weitere Fehloptimierung Sicherheitsbarrieren (z.B. Funktiontrennung) eingerissen. Die Mehrschichtigkeit der Sicherheitsarchitektur bleibt auf der Strecke.
Mitglied: kgborn
kgborn 20.09.2021 um 11:55:05 Uhr
Goto Top
Das Ganze ist ja immer höchst dynamisch - Microsoft reagiert ... ein bisschen ... Sicherheitsforscher legen die Finger in die nicht gefixten Schwachstellen ... und Microsoft reagiert wieder ein bisschen. Nachdem der Artikel erschien, hat MS sich wohl einen Tag später bewegt.

Aber das Fazit ist ein anderes: Als Admin in diesem Bereich musst Du eigentlich bei jedem Deployment prüfen, ob die gepatchten OMI-Agenten vorhanden sind.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.09.2021 um 12:16:30 Uhr
Goto Top
Zitat von @kgborn:

Aber das Fazit ist ein anderes: Als Admin in diesem Bereich musst Du eigentlich bei jedem Deployment prüfen, ob die gepatchten OMI-Agenten vorhanden sind.

Und sie dann komplett rauswerfen :-) face-smile

lks
Heiß diskutierte Beiträge
question
Unternehmensnetzwerk aufbauenbluelightVor 1 TagFrageNetzwerke12 Kommentare

Moin zusammen, erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde! Aktuelle Situation: -> 5 VMs bei Netcup -> ...

question
Netzwerkdosen verbindenR3nN1979Vor 1 TagFrageInternet7 Kommentare

Hallo, Ich ziehe bald um, und benötige dabei Hilfe, wie ich Netzwerkdosen miteinander verbinden kann. Habe überhaupt keine Ahnung davon, aber mir kann jemand von ...

general
Endpoint AV für FirmenumgebungKauzigVor 1 TagAllgemeinErkennung und -Abwehr18 Kommentare

Hallo, aktuell bin ich am Suchen einer Endpoint AV für meine Firmenumgebung wichtig wäre mir ein zentrales Management sowie ggf. sogar ein Patch System. Aktuell ...

question
Ein Domänenbenutzer für alle MitarbeiterMarabuntaVor 19 StundenFrageWindows Userverwaltung6 Kommentare

Hi, ist es möglich/sinnvoll bzw. wie ist es lizenztechnisch, wenn es einen Domänen-Benutzer für alle Mitarbeiter(10) gibt, diese Benutzen eine Branchensoftware in der jeder eigene ...

question
Einarbeitung VPN und entsprechende RouterFrankNVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, ich bin am Einarbeiten in das Thema VPN-Router. Ich suche ein Gerät, das es ermöglicht, ca. 50 VPN-Tunnel zu verwalten für eine Zentrale ...

question
Powershell Logon Script Problematikjoe2017Vor 1 TagFrageBatch & Shell19 Kommentare

Schönen guten Morgen, ich habe eine Frage an die Spezialisten hier. Denn ich bin gerade ratlos und am verzweifeln. Ich habe in meinem Domain Controler ...

question
Bewertung von Rechnern (Gewichtung von CPU, RAM und Festspeicher)SarekHLVor 1 TagFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe hier eine Aufstellung verschiedener Rechner mit - Leistungsbewertung der CPU mit CPUMark (Quelle: - Größe Arbeitsspeicher - SSD oder HDD Wie ...

question
Was ist die beste Lösung für servergespeicherte Profile für 10 Rechner?Yan2021Vor 12 StundenFrageNetzwerke9 Kommentare

Hallo liebe Admin-User, in einem anderen Thread ging es um die Sicherung von Dienst-PCs per Image. Daraus entstand dann eine Diskussion über servergespeicherte Profile. Da ...