Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
septiembre
(Total:
56
)
- Caduca un certificado raíz SSL que afectará dispos...
- Presentan teléfono móvil: Fairphone 4 con 5 años d...
- Astro: el robot asistente de Amazon: seguridad dom...
- Activar el Modo Dios en Windows 10
- XSS o Cross‑Site Scripting: tipos de ataque y prev...
- Herramientas SysInternals para administrar y monit...
- Significado pitidos placas bases Asus, GigaByte, A...
- Mozilla y Apple en contra que Google implemente un...
- Europa obligará a utilizar cargador estándar USB-C...
- Vulnerabilidad protocolo AutoDiscover de Microsoff...
- Filtración masiva datos privados de agencia inmobi...
- 11 graves vulnerabilidades en software Nagios
- Tipos de Phishing y trucos para detectarlo
- Ministerio de Defensa de Lituania aconseja a sus c...
- SOVA es un nuevo y sofisticado troyano bancario pa...
- Google restablecerá automáticamente los permisos d...
- Fallece a los 81 años, Clive Sinclair, creador de ...
- Detenidos 106 miembros de la mafia italiana en Ten...
- Elegir cable de red: categorías y velocidades
- Microsoft lanza para todos el inicio de sesión sin...
- El administrador sitio web para realizar ataques D...
- Turnos de vacunación: la nueva estafa para robarte...
- OMIGOD es una grave vulnerabilidad en máquinas vir...
- Disponible herramienta gratuita descifrado víctima...
- Apple presenta los nuevos iPhone 13
- Facebook admite en documentos internos que Instagr...
- Vulnerabilidad HP OMEN Gaming Hub afecta a millone...
- Disponible nueva versión de Kali Linux 2021.3
- Actualizaciones de seguridad importantes de Micros...
- Vulnerabilidad en Ghostscript explotada a través d...
- Programa secreto de Facebook permite a usuarios VI...
- WhatsApp finalmente permitirá cifrar copias de seg...
- Apple soluciona vulnerabilidad en iMessage permití...
- Red informática de las Naciones Unidas fue hackeada
- Ataques Denegación Servicio DDoS y DrDDoS: herrami...
- Digi España ofrece un servicio de fibra de 10 Gbps...
- El 64% del tráfico de Internet procede de bots, y ...
- Borrador OWASP Top 10 2021
- C1b3rWall Academy 2021: completo curso online grat...
- Nueva botnet Mēris realiza ataque DDoS récord al p...
- Justicia Estados Unidos condena 4 años vendedor ca...
- Expuestas credenciales de 500 mil cuentas VPN comp...
- Ofrecen hasta 1 millón de dólares a cambio de infe...
- Un anuncio de Microsoft Teams bloquea y ralentiza ...
- El aumento de ransomware se ha multiplicado por 10...
- Nueva y grave vulnerabilidad en documentos Office ...
- ProtonMail comparte la dirección IP de un activist...
- Alemania quiere 7 años de actualizaciones de segur...
- Filtrado código fuente del ransomware Babuk
- Google pagará Apple 15.000 millones dólares por se...
- Millones de dispositivos Bluetooth en riesgo por f...
- Irlanda multa a WhatsApp con 225 millones de euros...
- Cable malicioso de carga Lightning de Apple permie...
- Consiguen ocultar malware en la VRAM de las tarjet...
- Vulnerabilidad ProxyToken en Microsoft Exchange p...
- Empresa de reparto con drones alcanza las 100 mil ...
-
▼
septiembre
(Total:
56
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
OMIGOD es una grave vulnerabilidad en máquinas viruales Linux en Microsoft Azure
Múltiples vulnerabilidades críticas muy fáciles de explotar en OMI afectan innumerables clientes Microsoft Azure. En especial la vulnerabilidad CVE-2021-38647 con una gravedad CVSS 9.8 sobre 10. La vulnerabilidad ya está siendo explotada por botnets como Mirai.
OMIGOD: Open Management Infrastruture (OMI) de código abierto de Microsoft
Esta falla no afecta directamente a Windows en absoluto, porque es un error en la herramienta Open Management Infrastruture (OMI) de código abierto de Microsoft que está diseñada para Linux en general y para servidores Linux alojados en Azure en particular.
Muy simplificado, OMI es la respuesta basada en Linux de Microsoft para WMI, la interfaz de administración de Windows que los administradores de sistemas utilizan para controlar sus redes de Windows.
Al igual que WMI, el código OMI se ejecuta como un proceso privilegiado en sus servidores para que los administradores de sistemas y el software de administración del sistema puedan consultar y controlar lo que está sucediendo, como enumerar procesos, iniciar programas de utilidad y verificar los ajustes de configuración del sistema.
Desafortunadamente, los ciberdelincuentes, especialmente los criminales de ransomware, aman WMI tanto como a los administradores de sistemas.
Esto se debe a que WMI ayuda a los atacantes a planificar y ejecutar sus ataques destructivos en toda una organización, una vez que tienen una cabeza de playa a nivel de administrador en algún lugar de la red.
Lamentablemente, OMIGOD es un error de OMI que, en teoría, ofrece a los delincuentes el mismo tipo de poder distribuido en sus servidores Linux ..
No se requiere contraseña
En lugar de adivinar un token de autenticación válido para insertarlo en una solicitud web OMI fraudulenta, simplemente omite toda mención del token de autenticación por completo, ¡y ya está!
Por supuesto, con los parches de código relevantes publicados hace más de un mes, en forma de código fuente nada menos, puede suponer que los administradores de sistemas de Linux que son usuarios de OMI ya han tenido mucho tiempo para parchear.
También puede suponer que cualquiera que confíe en su distribución de Linux para proporcionar paquetes binarios actualizados (evitando así la necesidad de reconstruir el código manualmente desde la fuente) también estaría por delante del juego.
Sin embargo, como Wiz señala de manera bastante intencionada en su publicación de blog, muchos usuarios de Linux en Azure pueden no saber que tienen OMI y, por lo tanto, ni siquiera saben que deben buscar problemas de seguridad con él.
Esto se debe a que es posible que el software OMI se haya instalado automáticamente, junto con varios servicios de Azure que eligieron usar.
Wiz afirma que:
Los clientes de Azure en máquinas Linux, que representan más de la mitad de todas las instancias de Azure según Microsoft, están en riesgo si utilizan cualquiera de los siguientes servicios / herramientas: Azure Automation, Azure Automatic Update, Azure Operations Management Suite (OMS), Azure Log Analytics, Azure Configuration Management, Azure Diagnostics [y] Azure Container Insights,
Si se ocupa de los servidores Linux y, en particular, si están alojados en Azure, le sugerimos que compruebe si tiene OMI y, de ser así, se asegure de tener la última versión.
Mitigaciones y consejos
1. Si sabes que tiene OMI en sus servidores, asegúrese de que esté actualizado. Según Microsoft, puede usar el comando omicli ei (enumerar instancia) para verificar qué versión está instalada en cada servidor. Busque la versión 1.6.8-1 o posterior.
For Debian systems (e.g., Ubuntu):
dpkg -l omi
For Redhat based system (e.g., Fedora, CentOS, RHEL):
rpm -qa omi
2. Si no estás seguro de tener OMI instalado, búsquelo. Puede buscar en su sistema de archivos archivos llamados omilci.conf, omigen.conf y omiserver.conf, así como archivos llamados .omiclirc y .omigenrc en el directorio de inicio de cualquier cuenta, o usar el administrador de paquetes de su distribución de Linux para buscar paquetes con nombres que comiencen omi *.
3. Comprueba si hay servicios de red de escucha que puedan exponer a OMI de forma remota. Según Wiz, el número de puerto predeterminado es 5986 y el acceso remoto no está habilitado de forma predeterminada. Puede comprobar si hay sockets de escucha en un servidor mediante el comando netstat. (Consulte a continuación). Desactive el acceso remoto a menos que realmente lo desee o lo necesite.
Puertos abiertos:
- 5985
- 5986
- 1270
4. Lea los consejos de seguridad de Microsoft para CVE-2021-38647. Tenga en cuenta que hay otras tres vulnerabilidades algo menos graves en OMI que Wiz encontró al mismo tiempo, por lo que es posible que desee leerlas también: CVE-2021-38645, CVE-2021-38648 y CVE-2021-38649.
Cómo utilizar el comando netstat
Para ver todos los sockets de escucha (se necesita root):
# netstat -l
[...]
Para mostrar todos los sockets de escucha con ID de proceso y nombres:
# netstat -lp
[...]
Restrinja la salida a los sockets TCP de escucha, a pesar de que OMI usa HTTPS sobre TCP:
# netstat -lp | grep tcp
[...]
Para practicar el uso de este comando, inicie un socket TCP de escucha en una ventana de terminal, así ...
$ nc -n -l -v -p 8888
escuchando en [cualquier] 8888 ...
... y luego, en otra ventana de terminal, use netstat para buscar el socket de escucha en el puerto 8888:
# netstat -lp | grep tcp
tcp 0 0 [0.0.0.0]: 8888 0.0.0.0:* ESCUCHAR {PROCESSNO] / nc
Tenga en cuenta que en el ejemplo aove, [0.0.0.0]: 8888 indica que el proceso nc está escuchando en el puerto 8888 en todas las interfaces de red, lo que significa que se puede acceder al puerto de forma local o remota.
Fuentes:
https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.