米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月16日(現地時間)、「Microsoft Releases Security Update for Azure Linux Open Management Infrastructure|CISA」において、MicrosoftがLinux向けに提供している「Open Management Infrastructure(OMI)」に脆弱性が報告され、同社がセキュリティアップデートをリリースしたと伝えた。この脆弱性を悪用されると、リモートの攻撃者によって影響を受けたシステムで任意のコードを実行される危険性がある。
OMIはMicrosoftがLinux向けに提供しているCIM/WBEM標準の製品を開発するためのオープンシステムである。CIMおよびWBEMは、ネットワークインフラおよびネットワーク接続されたホストやストレージなどの各種機器を管理するための標準規格で、標準化団体のDMTFによって策定されている。
今回報告された脆弱性はCVE-2021-38647として追跡されているもので、詳細はMicrosoftによる次のサポートページにまとめられている。
Microsoftによると、構成管理などの一部のAzure製品はOMIのためにHTTPSポート(通常は5986番)をオープンしており、攻撃者がHTTPS経由で特別に細工されたメッセージを送信した場合、任意のコードの実行できる可能性があるという。脆弱性の深刻度を表すCVSS v3のベーススコアは9.8で、深刻度「Critical(緊急)」に分類されている。
この脆弱性に対する修正は、2021年9月14日にリリースされた月例セキュリティアップデートに含まれている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、Microsoftによる上記サポート情報を確認した上で必要なアップデートを適用することを推奨している。