McAfee vulnerabilidad de ejecución remota de código en la cobertura de Enterprise para CVE-2021-38647

Artículos técnicos ID: KB94887
Última modificación: 01/07/2022

Entorno

Linux sistemas que ejecutan la infraestructura de administración abierta (OMI) de Azure Agent

Resumen

Actualizaciones recientes de este artículo

Fecha	Actualización
15 de septiembre de 2021	Se han agregado las consultas de EDR RTS. Publicación inicial.

Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.

McAfee Enterprise está investigando una vulnerabilidad reciente, CVE-2021-38647, presentada por Microsoft como parte de las actualizaciones de seguridad del martes de parches de 2021 de septiembre. Esta vulnerabilidad se aplica a Azure OMI. Esta vulnerabilidad se califica con una calificación CVSS ( 3.1 ) de 9.8.

CVE-2021-38647 se considera la más importante de una recopilación de vulnerabilidades recientes publicadas por Microsoft, a las que se hace referencia colectivamente como "OMIGOD" vulnerabilidades. La lista completa de vulnerabilidades es CVE-2021-38647, CVE-2021-38648, CVE-2021-38645y CVE-2021-38649. Para obtener más información, consulte el funcionario Guía de actualización de Microsoft en CVE-2021-38647.

Problema

Esta vulnerabilidad se puede aprovechar para obtener acceso de forma remota con permisos raíz en una carga de trabajo virtual en la que se ejecuta un sistema operativo basado en Linux y ejecutar código. Al enviar una solicitud HTTP/S con el encabezado de autorización eliminado, un atacante puede utilizar esta vulnerabilidad para obtener permisos raíz en el sistema víctima.

¿Qué es Azure OMI?

El Agent de OMI se aprovecha en muchos de los servicios de Azure más conocidos. Microsoft hace referencia a Azure Operations Management Suite (OMS) y System Center para Linux, que se puede usar con sistemas de Linux locales.

Solución

Es importante tener en cuenta que Microsoft ha publicado un parche en el Agent de OMI, publicado el 11 de septiembre de 2021. Los propietarios del sistema pueden aplicar el parche para corregir la vulnerabilidad. Este parche está disponible directamente en el repositorio de Microsoft OMI Agent GitHub en la 1.6.8 versión-1.

Importante: Para estar suficientemente protegidos por las actualizaciones de seguridad proporcionadas por Microsoft para "OMIGOD" vulnerabilidades, los clientes deben realizar acciones manuales para desplegar los parches necesarios. Azure OMI no aplica este parche automáticamente.

¿Cómo puede ayudarle McAfee soluciones de productos para empresas?

McAfee Enterprise está evaluando la cobertura de productos en nuestra cartera. Este artículo se actualizará a medida que se identifique la cobertura del producto.

Las funciones del producto están disponibles para los siguientes componentes:

Endpoint Security for Linux Firewall: Bloquear conexiones entrantes para puertos afectados; bloquear el servicio OMI de las comunicaciones de red.
MVISION EDR/McAfee Active Response: Buscar conexiones por puerto y privilegio de usuario.
Búsqueda de
Real Time La siguiente consulta se puede utilizar para identificar los sistemas que ejecutan el Agent OMI y la versión correspondiente del servicio instalado:

software y HostInfo nombre de host, donde el DisplayName de software contiene OMI

La siguiente consulta se puede utilizar para identificar el tráfico procedente del servicio omiengine:

procesos y CurrentFlow y HostInfo nombre de host en el que los nombres de los procesos son iguales a omiengine
Application control: Impida que se ejecute el servicio OMI.

Nota: Ajustes generales puertos OMI son 5986, 5985 y 1270. Sin embargo, las opciones de configuración personalizadas de los puertos OMI están disponibles. Los clientes deben investigar de forma interna lo que se está utilizando en su entorno. Además, a medida que se realicen más pruebas, estos pasos se explicarán con más detalle.

Se está evaluando cobertura de productos adicional para los siguientes productos:

Plataforma de protección de aplicaciones nativas en la nube (CNAPP)
Plataforma de protección de carga de trabajo en la nube (CWPP)

Para recibir actualizaciones continuas, suscríbase a este artículo y soporte de Notification Service (SNS).

Información relacionada

Para recibir información sobre actualizaciones de productos, Regístrese en el servicio de notificación de soporte.

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Application and Change Control 8.3.x
Application and Change Control 8.2.x
Application and Change Control 8.1.x
Application and Change Control 8.0.x
Best Practices
Endpoint Security for Linux Firewall 10.7.x
Endpoint Security for Linux Firewall 10.6.x
McAfee Active Response 2.x
MVISION EDR - All Versions
Threat Prevention and Removal
Vulnerability Response

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

McAfee vulnerabilidad de ejecución remota de código en la cobertura de Enterprise para CVE-2021-38647

Entorno

Resumen

Problema

Solución

Información relacionada

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

McAfee vulnerabilidad de ejecución remota de código en la cobertura de Enterprise para CVE-2021-38647

Entorno

Resumen

Problema

Solución

Información relacionada

Descargo de responsabilidad

Productos implicados

Idiomas:

Elija su región

Title

Title