Атаки начались 16 сентября, после того как на GitHub был опубликован PoC-код для уязвимости.
Операторы программ-криптомайнеров и DDoS-ботнетов активно сканируют интернет в поисках незащищенных серверов Azure Linux, уязвимых к недавно обнародованной проблеме OMIGOD.
OMIGOD представляет собой набор уязвимостей (CVE-2021-38645б, CVE-2021-38647, CVE-2021-38648, CVE-2021-38649), затрагивающих приложение Open Management Infrastructure (OMI), по умолчанию устанавливаемое Microsoft на большинстве виртуальных машин Azure Linux. Приложение работает как Linux-альтернатива сервису Windows Management Infrastructure (WMI).
Проблемы OMIGOD были исправлены в OMI версии 1.6.8.1 , однако в приложении нет механизма автоматического обновления, поэтому большинство виртуальных машин Azure Linux нужно обновлять вручную.
Атаки начались 16 сентября, после того как на GitHub был опубликован демонстрационный эксплоит для уязвимости. По данным компаний Bad Packets и GreyNoise сканирование осуществляется с более чем 100 серверов. В частности, злоумышленников интересовали серверы, уязвимые к CVE-2021-38647, позволяющей получить контроль над сервером Azure Linux с помощью вредоносного пакета OMI.
По данным сервиса Shodan, в настоящее время в Сети насчитывается более чем 15 тыс. серверов Azure Linux.
По информации ИБ-экспертов Кевина Бомона (Kevin Beaumont) и Германа Фернандеза (German Fernandez), злоумышленники разворачивают на скомпрометированных серверах программы для майнинга криптовалюты либо взломанные устройства становятся частью ботнета. По словам Фернандеза, за некоторыми из атак стоит ботнет на базе Mirai.
Одно найти легче, чем другое. Спойлер: это не темная материя