CVE-2021-38647 リモートコード実行の脆弱性に対する McAfee Enterprise の対応

技術的な記事 ID: KB94887
最終更新: 2021/09/15

環境

Azure の OpenManagement Infrastructure（OMI）エージェントを実行している Linux システム

概要

この記事の最近の更新

日付	更新内容
2021 年 9 月 15 日	EDR RTS クエリの追加初版発行

この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。購読するには、ログインする必要があります。

McAfee Enterprise は、2021 年 9 月の月例セキュリティアップデートの一部として Microsoft から報告された、最近の脆弱性 CVE-2021-38647 を調査しています。この脆弱性は Azure OMI に適用されます。この脆弱性は CVSS(3.1) スコア 9.8 で評価されています。

CVE-2021-38647 は、マイクロソフトがリリースした最近の脆弱性のコレクションの中で最も重大であると見なされており、まとめて「OMIGOD」脆弱性と呼ばれます。すべての脆弱性リストは、CVE-2021-38647, CVE-2021-38648, CVE-2021-38645, and CVE-2021-38649 を参照してください。さらなる情報は、Microsoft update guide on CVE-2021-38647 を参照してください。

問題

この脆弱性を利用して、Linux ベースのオペレーティングシステムを実行している仮想ワークロードへの root 権限でリモートアクセスし、コードを実行することができます。攻撃者は、Authorization ヘッダーを削除して HTTP/S リクエストを送信することにより、この脆弱性を利用して、被害者のシステムに対する root 権限を取得できます。

Azure OMI とは何ですか？

OMI エージェントは、多くの一般的な Azure サービスで利用されています。 Microsoft は、オンプレミスの Linux システムで使用できる Azure Operations Management Suite（OMS）と System Center for Linux を参照しています。

解決策

Microsoft が 2021 年 9 月 11 日にリリースされた OMI エージェントのパッチをリリースしたことに注意することが重要です。システム所有者はパッチを適用して脆弱性を修正できます。このパッチは 1.6.8-1 リリースの Microsoft OMI Agent GitHub リポジトリから直接入手できます。

重要： 「OMIGOD」の脆弱性に対してマイクロソフトが提供するセキュリティ更新プログラムによって十分に保護されるために、ユーザーは必要なパッチを配備する為手動アクションでパッチを入手する必要があります。 Azure OMI は、このパッチを自動的に適用しません。

McAfee Enterprise 製品ソリューションはどのように役立ちますか？

McAfee Enterprise は、ポートフォリオ全体の製品カバレッジを評価しています。この記事は、製品の対象範囲が特定されたときに更新されます。

製品機能は、次のコンポーネントで利用できます：

Endpoint Security for Linux Firewall:影響を受けるポートのインバウンド接続をブロックします。 OMI サービスをネットワーク通信からブロックします。
MVISION EDR/McAfee Active Response: ポートとユーザー権限で接続を検索します。
Real Time Search -
次のクエリを使用して、OMI エージェントを実行しているシステムとインストールされているサービスのそれぞれのバージョンを特定できます:

Software and HostInfo hostname where Software displayname contains omi

次のクエリを使用して、omiengine サービスからのトラフィックを特定できます。:

Processes and CurrentFlow and HostInfo hostname where Processes name equals omiengine
Application Control: OMI サービスの実行を防止します。

注：一般的な OMI ポートは 5986、5985、および 1270 です。ただし、OMI ポートのカスタム構成オプションを使用できます。ユーザーは、環境で何が使用されているかを社内で調査する必要があります。さらにテストが行われると、これらの手順の概要が詳しく説明されます。

以下の製品について、追加の製品カバレッジが評価されています:

Cloud Native Application Protection Platform (CNAPP)
Cloud Workload Protection Platform (CWPP)

継続的な更新を受け取るには、この記事と Support Notification Service（SNS）を購読してください。

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

影響を受ける製品

Application and Change Control 8.3.x
Application and Change Control 8.2.x
Application and Change Control 8.1.x
Application and Change Control 8.0.x
Best Practices
Endpoint Security for Linux Firewall 10.7.x
Endpoint Security for Linux Firewall 10.6.x
McAfee Active Response 2.x
MVISION EDR - All Versions
Threat Prevention and Removal
Vulnerability Response

言語:

この記事は、次の言語で表示可能です:

English United States
Spanish Spain
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

CVE-2021-38647 リモートコード実行の脆弱性に対する McAfee Enterprise の対応

環境

概要

問題

解決策

関連情報

免責事項

影響を受ける製品

言語:

Title

Title

Knowledge Center

CVE-2021-38647 リモートコード実行の脆弱性に対する McAfee Enterprise の対応

環境

概要

問題

解決策

関連情報

免責事項

影響を受ける製品

言語:

地域を選択してください

Title

Title