🥇Отдалечено използваема уязвимост в OMI агента, наложена в Linux среди на Microsoft Azure

Клиентите на облачната платформа Microsoft Azure, използващи Linux във виртуални машини, се натъкнаха на критична уязвимост (CVE-2021-38647), която позволява дистанционно изпълнение на код с root права. Уязвимостта беше с кодово име OMIGOD и се отличава с факта, че проблемът присъства в приложението OMI Agent, което се инсталира тихо в среди на Linux.

OMI Agent се инсталира и активира автоматично при използване на услуги като автоматизация на Azure, автоматична актуализация на Azure, пакет за управление на операции на Azure, анализ на журнал на Azure, управление на конфигурация на Azure, диагностика на Azure и прозрения за контейнери на Azure. Например среди на Linux в Azure, за които е активирано наблюдение, са податливи на атака. Агентът е част от отворения пакет OMI (Open Management Infrastructure Agent) с внедряването на стека DMTF CIM/WBEM за управление на ИТ инфраструктура.

OMI Agent е инсталиран в системата под потребителя omsagent и създава настройки в /etc/sudoers за изпълнение на поредица от скриптове с права на root. По време на работата на някои услуги се създават слушащи мрежови сокети на мрежови портове 5985, 5986 и 1270. Сканирането в услугата Shodan показва наличието на повече от 15 хиляди уязвими Linux среди в мрежата. Понастоящем работещ прототип на експлойта вече е публично достъпен, което ви позволява да изпълнявате кода си с root права на такива системи.

Проблемът се утежнява от факта, че използването на OMI не е изрично документирано в Azure и OMI агентът се инсталира без предупреждение - просто трябва да се съгласите с условията на избраната услуга, когато настройвате средата и OMI агентът ще бъде автоматично се активира, т.е. повечето потребители дори не знаят за присъствието му.

Методът за използване е тривиален - просто изпратете XML заявка до агента, като премахнете заглавката, отговорна за удостоверяването. OMI използва удостоверяване при получаване на контролни съобщения, като проверява дали клиентът има право да изпрати определена команда. Същността на уязвимостта е, че когато заглавката „Authentication“, която отговаря за удостоверяването, бъде премахната от съобщението, сървърът счита проверката за успешна, приема контролното съобщение и позволява командите да се изпълняват с права на root. За да изпълните произволни команди в системата, е достатъчно да използвате стандартната команда ExecuteShellCommand_INPUT в съобщението. Например, за да стартирате помощната програма „id“, просто изпратете заявка: curl -H „Content-Type: application/soap+xml;charset=UTF-8“ -k —data-binary „@http_body.txt“ https: //10.0.0.5 5986:3/wsman ... документ за самоличност 2003

Microsoft вече пусна актуализацията OMI 1.6.8.1, която коригира уязвимостта, но все още не е доставена на потребителите на Microsoft Azure (старата версия на OMI все още е инсталирана в нови среди). Автоматичните актуализации на агенти не се поддържат, така че потребителите трябва да извършат ръчна актуализация на пакета, като използват командите "dpkg -l omi" на Debian/Ubuntu или "rpm -qa omi" на Fedora/RHEL. Като заобиколно решение за сигурност се препоръчва да блокирате достъпа до мрежови портове 5985, 5986 и 1270.

В допълнение към CVE-2021-38647, OMI 1.6.8.1 адресира и три уязвимости (CVE-2021-38648, CVE-2021-38645 и CVE-2021-38649), които могат да позволят на непривилегирован локален потребител да изпълни код като root.

Източник: opennet.ru

Дистанционно използвана уязвимост в OMI агент, наложена в среди на Microsoft Azure Linux

Добавяне на нов коментар

Дистанционно използвана уязвимост в OMI агент, наложена в среди на Microsoft Azure Linux

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар