Microsoft Azure Linux পরিবেশে আরোপিত OMI এজেন্টে দূরবর্তীভাবে শোষিত দুর্বলতা

ভার্চুয়াল মেশিনে Linux ব্যবহার করে Microsoft Azure ক্লাউড প্ল্যাটফর্মের গ্রাহকরা একটি জটিল দুর্বলতার সম্মুখীন হয়েছেন (CVE-2021-38647) যা রুট অধিকার সহ দূরবর্তী কোড কার্যকর করার অনুমতি দেয়। দুর্বলতার কোডনাম ছিল OMIGOD এবং এটি উল্লেখযোগ্য যে সমস্যাটি ওএমআই এজেন্ট অ্যাপ্লিকেশনে উপস্থিত রয়েছে, যা লিনাক্স পরিবেশে শান্তভাবে ইনস্টল করা আছে।

Azure অটোমেশন, Azure অটোমেটিক আপডেট, Azure অপারেশন ম্যানেজমেন্ট স্যুট, Azure লগ অ্যানালিটিক্স, Azure কনফিগারেশন ম্যানেজমেন্ট, Azure ডায়াগনস্টিকস, এবং Azure কন্টেইনার ইনসাইটসের মতো পরিষেবাগুলি ব্যবহার করার সময় OMI এজেন্ট স্বয়ংক্রিয়ভাবে ইনস্টল এবং সক্রিয় হয়। উদাহরণ স্বরূপ, Azure-এর Linux এনভায়রনমেন্ট যার জন্য মনিটরিং সক্ষম করা হয়েছে আক্রমণের জন্য সংবেদনশীল। আইটি অবকাঠামো পরিচালনার জন্য DMTF CIM/WBEM স্ট্যাকের বাস্তবায়নের সাথে এজেন্টটি ওপেন OMI (ওপেন ম্যানেজমেন্ট ইনফ্রাস্ট্রাকচার এজেন্ট) প্যাকেজের অংশ।

OMI Agent omsagent ব্যবহারকারীর অধীনে সিস্টেমে ইনস্টল করা হয় এবং রুট অধিকার সহ স্ক্রিপ্টের একটি সিরিজ চালানোর জন্য /etc/sudoers-এ সেটিংস তৈরি করে। কিছু পরিষেবার অপারেশন চলাকালীন, নেটওয়ার্ক পোর্ট 5985, 5986 এবং 1270-এ লিসেনিং নেটওয়ার্ক সকেট তৈরি করা হয়। শোডান পরিষেবাতে স্ক্যান করা নেটওয়ার্কে 15 হাজারেরও বেশি দুর্বল লিনাক্স পরিবেশের উপস্থিতি দেখায়। বর্তমানে, শোষণের একটি কার্যকরী প্রোটোটাইপ ইতিমধ্যেই সর্বজনীনভাবে উপলব্ধ করা হয়েছে, যা আপনাকে এই ধরনের সিস্টেমে রুট অধিকার সহ আপনার কোড চালানোর অনুমতি দেয়।

সমস্যাটি আরও বেড়েছে যে OMI-এর ব্যবহার স্পষ্টভাবে Azure-এ নথিভুক্ত করা হয়নি এবং OMI এজেন্ট সতর্কতা ছাড়াই ইনস্টল করা হয়েছে - পরিবেশ সেট আপ করার সময় আপনাকে শুধুমাত্র নির্বাচিত পরিষেবার শর্তাবলীতে সম্মত হতে হবে এবং OMI এজেন্ট হবে স্বয়ংক্রিয়ভাবে সক্রিয়, যেমন অধিকাংশ ব্যবহারকারী এমনকি এর উপস্থিতি সম্পর্কে সচেতন নন।

শোষণ পদ্ধতিটি তুচ্ছ - প্রমাণীকরণের জন্য দায়ী শিরোনামটি সরিয়ে এজেন্টকে একটি XML অনুরোধ পাঠান। নিয়ন্ত্রণ বার্তা পাওয়ার সময় OMI প্রমাণীকরণ ব্যবহার করে, ক্লায়েন্টের একটি নির্দিষ্ট কমান্ড পাঠানোর অধিকার আছে কিনা তা যাচাই করে। দুর্বলতার সারমর্ম হল যে যখন "প্রমাণিকরণ" শিরোনাম, যা প্রমাণীকরণের জন্য দায়ী, বার্তা থেকে সরানো হয়, তখন সার্ভার যাচাইকরণ সফল বলে মনে করে, নিয়ন্ত্রণ বার্তা গ্রহণ করে এবং রুট অধিকারের সাথে কমান্ডগুলি কার্যকর করার অনুমতি দেয়। সিস্টেমে নির্বিচারে কমান্ডগুলি চালানোর জন্য, বার্তাটিতে স্ট্যান্ডার্ড ExecuteShellCommand_INPUT কমান্ড ব্যবহার করা যথেষ্ট। উদাহরণস্বরূপ, “id” ইউটিলিটি চালু করতে, শুধু একটি অনুরোধ পাঠান: curl -H “Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5. 5986:3/wsman ... id 2003

মাইক্রোসফ্ট ইতিমধ্যেই OMI 1.6.8.1 আপডেট প্রকাশ করেছে যা দুর্বলতা সংশোধন করে, কিন্তু এটি এখনও Microsoft Azure ব্যবহারকারীদের কাছে বিতরণ করা হয়নি (OMI-এর পুরানো সংস্করণটি এখনও নতুন পরিবেশে ইনস্টল করা আছে)। স্বয়ংক্রিয় এজেন্ট আপডেট সমর্থিত নয়, তাই ব্যবহারকারীদের অবশ্যই ডেবিয়ান/উবুন্টুতে "dpkg -l omi" বা Fedora/RHEL-এ "rpm -qa omi" কমান্ড ব্যবহার করে একটি ম্যানুয়াল প্যাকেজ আপডেট করতে হবে। একটি নিরাপত্তা সমাধান হিসাবে, নেটওয়ার্ক পোর্ট 5985, 5986, এবং 1270 অ্যাক্সেস ব্লক করার সুপারিশ করা হয়।

CVE-2021-38647 ছাড়াও, OMI 1.6.8.1 এছাড়াও তিনটি দুর্বলতা (CVE-2021-38648, CVE-2021-38645, এবং CVE-2021-38649) সম্বোধন করে যা একজন সুবিধাবিহীন স্থানীয় ব্যবহারকারীকে প্রাক্তন কোড রুট হিসাবে অনুমতি দিতে পারে।

উত্স: opennet.ru