واجه عملاء النظام الأساسي السحابي Microsoft Azure الذين يستخدمون Linux في الأجهزة الافتراضية ثغرة أمنية حرجة (CVE-2021-38647) تسمح بتنفيذ التعليمات البرمجية عن بُعد باستخدام حقوق الجذر. تم تسمية الثغرة الأمنية باسم OMIGOD، وهي ملحوظة لأن المشكلة موجودة في تطبيق OMI Agent، الذي تم تثبيته بهدوء في بيئات Linux.
يتم تثبيت OMI Agent وتنشيطه تلقائيًا عند استخدام خدمات مثل Azure Automation وAzure Automatic Update وAzure Operations Management Suite وAzure Log Analytics وAzure Configuration Management وAzure Diagnostics وAzure Container Insights. على سبيل المثال، بيئات Linux في Azure التي تم تمكين المراقبة لها تكون عرضة للهجوم. يعد الوكيل جزءًا من حزمة OMI المفتوحة (وكيل البنية التحتية للإدارة المفتوحة) مع تنفيذ مكدس DMTF CIM/WBEM لإدارة البنية التحتية لتكنولوجيا المعلومات.
يتم تثبيت OMI Agent على النظام تحت مستخدم omsagent ويقوم بإنشاء الإعدادات في /etc/sudoers لتشغيل سلسلة من البرامج النصية بحقوق الجذر. أثناء تشغيل بعض الخدمات، يتم إنشاء مآخذ شبكة استماع على منافذ الشبكة 5985 و5986 و1270. يُظهر المسح في خدمة Shodan وجود أكثر من 15 ألف بيئة Linux معرضة للخطر على الشبكة. في الوقت الحالي، أصبح النموذج الأولي العامل للاستغلال متاحًا للجمهور بالفعل، مما يسمح لك بتنفيذ التعليمات البرمجية الخاصة بك باستخدام حقوق الجذر على هذه الأنظمة.
تتفاقم المشكلة بسبب حقيقة أن استخدام OMI لم يتم توثيقه بشكل صريح في Azure وتم تثبيت وكيل OMI دون سابق إنذار - ما عليك سوى الموافقة على شروط الخدمة المحددة عند إعداد البيئة وسيكون وكيل OMI تفعيلها تلقائيا، أي. معظم المستخدمين لا يدركون حتى وجوده.
طريقة الاستغلال تافهة - ما عليك سوى إرسال طلب XML إلى الوكيل، وإزالة الرأس المسؤول عن المصادقة. يستخدم OMI المصادقة عند تلقي رسائل التحكم، والتحقق من أن العميل لديه الحق في إرسال أمر معين. جوهر الثغرة الأمنية هو أنه عند إزالة رأس "المصادقة"، المسؤول عن المصادقة، من الرسالة، يعتبر الخادم أن التحقق ناجح، ويقبل رسالة التحكم ويسمح بتنفيذ الأوامر باستخدام حقوق الجذر. لتنفيذ أوامر عشوائية في النظام، يكفي استخدام الأمر ExecuteShellCommand_INPUT القياسي في الرسالة. على سبيل المثال، لتشغيل الأداة المساعدة "id"، ما عليك سوى إرسال طلب: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5:5986/wsman ... id 3
لقد أصدرت Microsoft بالفعل تحديث OMI 1.6.8.1 الذي يعمل على إصلاح الثغرة الأمنية، ولكن لم يتم تسليمه بعد إلى مستخدمي Microsoft Azure (لا يزال الإصدار القديم من OMI مثبتًا في بيئات جديدة). تحديثات الوكيل التلقائية غير مدعومة، لذلك يجب على المستخدمين إجراء تحديث يدوي للحزمة باستخدام الأوامر "dpkg -l omi" على Debian/Ubuntu أو "rpm -qa omi" على Fedora/RHEL. كحل بديل للأمان، يوصى بحظر الوصول إلى منافذ الشبكة 5985 و5986 و1270.
بالإضافة إلى CVE-2021-38647، يعالج OMI 1.6.8.1 أيضًا ثلاث ثغرات أمنية (CVE-2021-38648، وCVE-2021-38645، وCVE-2021-38649) التي قد تسمح لمستخدم محلي لا يتمتع بأي امتيازات بتنفيذ التعليمات البرمجية كجذر.
المصدر: opennet.ru