BDU:2022-03871: Уязвимость сервера управления предприятием через Интернет Open Management Infrastructure (OMI) расширений для управления виртуальными машинами Azure, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии

CVSS v37.8

CVSS v26.8

Пересчитать в калькуляторе Открыть на bdu.fstec.ru К реестру

Описание

Уязвимость сервера управления предприятием через Интернет Open Management Infrastructure (OMI) расширений для управления виртуальными машинами Azure связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Что делать с BDU:2022-03871

Уязвимость среднего уровня (CVSS 7.8) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1

7.8Высокий

Пересчитать →

6.8

Только просмотр

AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HAV:L/AC:L/Au:S/C:C/I:C/A:C

CWE — тип уязвимости

CWE-264

CVE — международный идентификатор

CVE-2022-29149

Тактики и техники

Нарушение авторизации

Уязвимое ПО (14)

Вендор	Название	Версия	Платформа
Microsoft Corp	Container Monitoring Solution	-	Не указана
Сообщество свободного программного обеспечения	Open Management Infrastructure (OMI)	до 1.6.9-1	Не указана
Microsoft Corp	System Center Operations Manager (SCOM)	2016 до 7.6.1108.0	Не указана
Microsoft Corp	System Center Operations Manager (SCOM)	2019 до 10.19.1152.0	Не указана
Microsoft Corp	System Center Operations Manager (SCOM)	2022 до 10.22.1024.0	Не указана
Microsoft Corp	Azure Stack Hub	до 1.14.13	Не указана
Microsoft Corp	Azure Sentinel	до 1.14.13	Не указана
Microsoft Corp	Azure Security Center	до 1.14.13	Не указана
Microsoft Corp	Azure Diagnostics (LAD)	до 3.0.137	Не указана
Microsoft Corp	Azure Diagnostics (LAD)	от 4.0.0 до 4.0.27	Не указана
Microsoft Corp	Log Analytics Agent	до 1.14.13	Не указана
Microsoft Corp	Azure Automation Update Management	до 1.14.13	Не указана
Microsoft Corp	Azure Automation State Configuration, DSC Extension	до 2.71.1.33	Не указана
Microsoft Corp	Azure Automation State Configuration, DSC Extension	от 3.0.0.0 до 3.0.0.7	Не указана

Источники (1)

https://nvd.nist.gov/vuln/detail/CVE-2022-29149 https://vuldb.com/ru/?id.201821…

SLA ФСТЭК №117

7 дней

по базовой оценке CVSS 7.8

Уточните SLA под вашу среду

Базовый балл 7.8 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Отслеживать (повышенный)

Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.

EPSS — вероятность эксплуатации0.2%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2022-04-12

Опубликована

2022-06-29

Обновлена

2022-06-29

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

Уязвимости → активы → ответственные — цепочка за минуту
SLA-таймеры и эскалация — дедлайны не горят
PDF-отчёт для ФСТЭК — за один клик

Попробовать бесплатно

Внешние ресурсы

БДУ ФСТЭК NVD: CVE-2022-29149 MITRE: CWE-264 Каталог CPE (ФСТЭК)