Tidak mengherankan, pelaku ancaman telah mulai mengeksploitasi kritis secara aktif Biru langit (terbuka di tab baru) kerentanan, tidak lama setelah mereka diungkapkan secara publik dan ditambal oleh Microsoft baru-baru ini September Tambalan Selasa (terbuka di tab baru) melepaskan.
BleepingComputer laporan bahwa serangan pertama terlihat minggu lalu oleh peneliti keamanan German Fernández (terbuka di tab baru)sebelum dikonfirmasi oleh keamanan siber (terbuka di tab baru) vendor GreyNoise (terbuka di tab baru) dan Paket Buruk (terbuka di tab baru).
Empat eskalasi hak istimewa dan eksekusi kode jarak jauh kerentanan ditemukan (terbuka di tab baru) di agen perangkat lunak Infrastruktur Manajemen Terbuka (OMI), yang diterapkan secara otomatis di dalamnya Linux (terbuka di tab baru) mesin virtual (VM (terbuka di tab baru)) saat pengguna mengaktifkan layanan Azure tertentu.
Namun, dalam langkah yang mengejutkan, alih-alih menambal semua layanan Azure yang terpengaruh, Microsoft malah merilis penasehat (terbuka di tab baru) menyatakan bahwa meskipun enam di antaranya akan diperbarui, tujuh lainnya harus diperbarui oleh pengguna sendiri.
Memanfaatkan kelemahan
Kerentanan OMI ditemukan oleh para peneliti di Wiz, yang memperkirakan bahwa kerentanan tersebut memengaruhi ribuan pelanggan Azure, di jutaan titik akhir.
“Dengan satu paket, penyerang dapat menjadi root pada mesin jarak jauh hanya dengan menghapus header autentikasi. Sesederhana itu,” ungkap peneliti Wiz Nir Ohfeld, menambahkan bahwa salah satu dari empat kerentanan (dilacak sebagai CVE-2021-38647) dapat dieksploitasi untuk menargetkan Azure.
Tidak heran kemudian, GreyNoise sudah melacak (terbuka di tab baru) penyerang memindai internet untuk VM Azure Linux yang rentan terhadap eksploitasi CVE-2021-38647.
Peneliti keamanan lainnya, seperti Kevin Beaumont sudah memiliki kerentanan mereka honeypots dikompromikan (terbuka di tab baru) dengan cryptominers (terbuka di tab baru).
Dalam putaran yang aneh, sementara Microsoft telah menambal kerentanan, perusahaan berbagi bahwa masih dalam proses meluncurkan pembaruan untuk beberapa layanan yang dapat dikompromikan kepada pelanggan cloud-nya.
“Pelanggan harus memperbarui ekstensi yang rentan untuk penerapan Cloud dan On-Premises mereka karena pembaruan tersedia sesuai jadwal yang diuraikan dalam tabel di bawah…” baca saran Microsoft – yang membuat para peneliti keamanan kecewa.
Melalui BleepingComputer (terbuka di tab baru)
