Virtual maşınlarda Linux-dan istifadə edən Microsoft Azure bulud platformasının müştəriləri kök hüquqları ilə uzaqdan kodun icrasına imkan verən kritik boşluqla (CVE-2021-38647) qarşılaşıblar. Boşluğun kod adı OMIGOD idi və problemin Linux mühitlərində sakit şəkildə quraşdırılmış OMI Agent proqramında olması ilə diqqət çəkir.
OMI Agenti Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics və Azure Container Insights kimi xidmətlərdən istifadə edərkən avtomatik quraşdırılır və aktivləşdirilir. Məsələn, monitorinqin aktiv olduğu Azure-da Linux mühitləri hücuma həssasdır. Agent İT infrastrukturunun idarə edilməsi üçün DMTF CIM/WBEM yığınının tətbiqi ilə açıq OMI (Açıq İdarəetmə İnfrastruktur Agenti) paketinin bir hissəsidir.
OMI Agent sistemdə omsagent istifadəçisi altında quraşdırılır və kök hüquqları ilə bir sıra skriptləri işə salmaq üçün /etc/sudoers-də parametrlər yaradır. Bəzi xidmətlərin işləməsi zamanı 5985, 5986 və 1270 nömrəli şəbəkə portlarında dinləmə şəbəkəsi rozetkaları yaradılır. Shodan xidmətində skan edilməsi şəbəkədə 15 mindən çox zəif Linux mühitinin olduğunu göstərir. Hal-hazırda, istismarın işləyən prototipi artıq ictimaiyyətə açıqlanıb və bu, kodunuzu belə sistemlərdə kök hüquqları ilə icra etməyə imkan verir.
Problem OMI-dən istifadənin Azure-da açıq şəkildə sənədləşdirilməməsi və OMI Agentinin xəbərdarlıq edilmədən quraşdırılması ilə daha da ağırlaşır - sadəcə olaraq mühiti qurarkən seçilmiş xidmətin şərtləri ilə razılaşmalısınız və OMI Agenti avtomatik aktivləşdirilir, yəni. əksər istifadəçilər onun mövcudluğundan belə xəbərdar deyillər.
İstismar metodu əhəmiyyətsizdir - identifikasiyaya cavabdeh olan başlığı silməklə agentə XML sorğusu göndərmək kifayətdir. OMI, müştərinin müəyyən bir əmr göndərmək hüququnun olduğunu təsdiqləyən nəzarət mesajlarını qəbul edərkən autentifikasiyadan istifadə edir. Zəifliyin mahiyyəti ondan ibarətdir ki, autentifikasiyaya cavabdeh olan “Authentication” başlığı mesajdan silindikdə server yoxlamanı uğurlu hesab edir, nəzarət mesajını qəbul edir və əmrlərin kök hüquqları ilə icrasına icazə verir. Sistemdə ixtiyari əmrləri yerinə yetirmək üçün mesajda standart ExecuteShellCommand_INPUT əmrindən istifadə etmək kifayətdir. Məsələn, “id” yardım proqramını işə salmaq üçün sadəcə sorğu göndərin: curl -H “Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5:5986/wsman ... id 3
Microsoft artıq zəifliyi aradan qaldıran OMI 1.6.8.1 yeniləməsini buraxıb, lakin o, hələ də Microsoft Azure istifadəçilərinə çatdırılmayıb (OMI-nin köhnə versiyası hələ də yeni mühitlərdə quraşdırılıb). Avtomatik agent yeniləmələri dəstəklənmir, ona görə də istifadəçilər Debian/Ubuntu-da "dpkg -l omi" və ya Fedora/RHEL-də "rpm -qa omi" əmrlərindən istifadə edərək paket yeniləməsini əl ilə yerinə yetirməlidirlər. Təhlükəsizlik həlli olaraq 5985, 5986 və 1270 şəbəkə portlarına girişi bloklamaq tövsiyə olunur.
CVE-2021-38647 ilə yanaşı, OMI 1.6.8.1 imtiyazsız yerli istifadəçiyə kodu kök kimi icra etməyə imkan verən üç boşluğa (CVE-2021-38648, CVE-2021-38645 və CVE-2021-38649) müraciət edir.
Mənbə: opennet.ru