الثغرات ›

CVE-2021-38649

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Microsoft Open Management Infrastructure (OMI) Privilege Escalation Vulnerability — Microsoft Open Management Infrastructure (OMI) within Azure VM Management Extensions contains an unspecified vulnera

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2021-38649 is a critical privilege escalation vulnerability in Microsoft Open Management Infrastructure (OMI) affecting Azure VM Management Extensions with a CVSS score of 9.0. Exploitation allows attackers to escalate privileges on affected systems, potentially gaining full administrative control. This vulnerability poses significant risk to Saudi organizations utilizing Azure infrastructure and hybrid cloud environments. Immediate patching is essential given the availability of functional exploits.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 07:02

🇸🇦 التأثير على المملكة العربية السعودية

High impact on Saudi banking sector (SAMA-regulated institutions using Azure), government agencies (NCA oversight), healthcare providers (MOH, private hospitals), energy sector (ARAMCO, Saudi Aramco subsidiaries), and telecommunications (STC, Mobily). Organizations running Azure VMs with OMI extensions for monitoring and management are directly vulnerable. Privilege escalation could lead to unauthorized access to sensitive financial data, government systems, patient records, and critical infrastructure management systems.

🏢 القطاعات السعودية المتأثرة

Banking & Financial Services Government & Public Administration Healthcare Energy & Utilities Telecommunications Cloud Service Providers Enterprise IT Infrastructure

🎯 تقنيات MITRE ATT&CK

T1548 - Abuse Elevation Control Mechanism T1548.004 - Elevated Execution with Prompt T1134 - Access Token Manipulation T1547 - Boot or Logon Autostart Execution T1543 - Create or Modify System Process T1611 - Escape to Host

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Azure VMs with OMI extensions enabled across your infrastructure

2. Prioritize patching of production systems and those handling sensitive data

3. Implement network segmentation to limit lateral movement from compromised VMs



PATCHING GUIDANCE:

1. Apply Microsoft's security update for OMI immediately (KB5004394 or later)

2. Update Azure VM Agent to latest version

3. Verify patch installation: Check OMI version should be 1.6.8-1 or later

4. Test patches in non-production environment first



COMPENSATING CONTROLS (if immediate patching delayed):

1. Restrict local administrative access and implement principle of least privilege

2. Enable Azure Security Center monitoring for privilege escalation attempts

3. Implement Just-In-Time (JIT) VM access controls

4. Monitor OMI process execution and privilege escalation events



DETECTION RULES:

1. Monitor for OMI daemon (omiserver) spawning processes with elevated privileges

2. Alert on unexpected sudo/elevation requests from OMI processes

3. Track changes to OMI configuration files (/etc/opt/omi/conf/)

4. Monitor for OMI authentication bypass attempts in audit logs

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع أجهزة Azure VMs مع امتدادات OMI المفعلة عبر البنية الأساسية

2. إعطاء الأولوية لتصحيح الأنظمة الإنتاجية والتي تتعامل مع البيانات الحساسة

3. تنفيذ تقسيم الشبكة لتحديد الحركة الجانبية من أجهزة مخترقة

إرشادات التصحيح:

1. تطبيق تحديث الأمان من Microsoft لـ OMI فوراً (KB5004394 أو أحدث)

2. تحديث Azure VM Agent إلى أحدث إصدار

3. التحقق من تثبيت التصحيح: يجب أن يكون إصدار OMI 1.6.8-1 أو أحدث

4. اختبار التصحيحات في بيئة غير إنتاجية أولاً

الضوابط البديلة (إذا تأخر التصحيح الفوري):

1. تقييد الوصول الإداري المحلي وتنفيذ مبدأ أقل امتياز

2. تفعيل مراقبة Azure Security Center لمحاولات رفع الامتيازات

3. تنفيذ عناصر تحكم الوصول Just-In-Time (JIT) للأجهزة الافتراضية

4. مراقبة تنفيذ عمليات OMI وأحداث رفع الامتيازات

قواعد الكشف:

1. مراقبة خادم OMI (omiserver) الذي يولد عمليات بامتيازات مرتفعة

2. التنبيه على طلبات sudo/elevation غير المتوقعة من عمليات OMI

3. تتبع التغييرات في ملفات تكوين OMI (/etc/opt/omi/conf/)

4. مراقبة محاولات تجاوز مصادقة OMI في سجلات التدقيق

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 - Information security policies and procedures A.6.1.1 - Access control policy A.6.2.1 - User registration and de-registration A.8.2.1 - Classification of information A.12.2.1 - Restrictions on software installation A.12.6.1 - Management of technical vulnerabilities

🔵 SAMA CSF

Governance & Risk Management - Vulnerability Management Information & Cybersecurity - Access Control Information & Cybersecurity - System Hardening Resilience & Recovery - Incident Response

🟡 ISO 27001:2022

A.5.1 - Management direction for information security A.6.1 - Internal organization A.6.2 - Access management A.8.1 - Asset management A.12.6 - Management of technical vulnerabilities A.14.2 - Development and change management

🟣 PCI DSS v4.0

Requirement 2.2 - Configuration standards for system components Requirement 6.2 - Security patches and updates Requirement 7 - Restrict access to data by business need-to-know

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Microsoft:Open Management Infrastructure (OMI)

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS6.51%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2021-11-17

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-38649

عرّفنا بنفسك

تسجيل الدخول مطلوب