Els clients de la plataforma en núvol de Microsoft Azure que utilitzen Linux en màquines virtuals s'han trobat amb una vulnerabilitat crítica (CVE-2021-38647) que permet l'execució remota de codi amb drets d'arrel. La vulnerabilitat va rebre el nom en codi OMIGOD i destaca pel fet que el problema està present a l'aplicació OMI Agent, que s'instal·la en silenci en entorns Linux.
L'agent OMI s'instal·la i s'activa automàticament quan s'utilitzen serveis com ara Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics i Azure Container Insights. Per exemple, els entorns Linux d'Azure per als quals el monitoratge està habilitat són susceptibles d'atac. L'agent forma part del paquet obert OMI (Open Management Infrastructure Agent) amb la implementació de la pila DMTF CIM/WBEM per a la gestió de la infraestructura de TI.
L'OMI Agent s'instal·la al sistema amb l'usuari omsagent i crea paràmetres a /etc/sudoers per executar una sèrie d'scripts amb drets root. Durant el funcionament d'alguns serveis, es creen endolls de xarxa d'escolta als ports de xarxa 5985, 5986 i 1270. L'exploració del servei Shodan mostra la presència de més de 15 mil entorns Linux vulnerables a la xarxa. Actualment, un prototip de funcionament de l'explotació ja està disponible públicament, que us permet executar el vostre codi amb drets d'arrel en aquests sistemes.
El problema s'agreuja pel fet que l'ús d'OMI no està documentat explícitament a Azure i l'Agent OMI s'instal·la sense avís; només cal que accepteu les condicions del servei seleccionat quan configureu l'entorn i l'Agent OMI s'instal·larà. activat automàticament, és a dir. la majoria dels usuaris ni tan sols són conscients de la seva presència.
El mètode d'explotació és trivial: només envieu una sol·licitud XML a l'agent, eliminant la capçalera responsable de l'autenticació. L'OMI utilitza l'autenticació quan rep missatges de control, verificant que el client té dret a enviar una ordre concreta. L'essència de la vulnerabilitat és que quan la capçalera "Autenticació", que és responsable de l'autenticació, s'elimina del missatge, el servidor considera que la verificació és correcta, accepta el missatge de control i permet executar ordres amb drets d'arrel. Per executar ordres arbitràries al sistema, n'hi ha prou amb utilitzar l'ordre estàndard ExecuteShellCommand_INPUT al missatge. Per exemple, per llançar la utilitat "id", només cal que envieu una sol·licitud: curl -H "Tipus de contingut: application/soap+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5. 5986:3/wsman ... id 2003
Microsoft ja ha llançat l'actualització OMI 1.6.8.1 que soluciona la vulnerabilitat, però encara no s'ha lliurat als usuaris de Microsoft Azure (la versió antiga d'OMI encara està instal·lada en entorns nous). Les actualitzacions automàtiques d'agents no són compatibles, de manera que els usuaris han de realitzar una actualització manual del paquet utilitzant les ordres "dpkg -l omi" a Debian/Ubuntu o "rpm -qa omi" a Fedora/RHEL. Com a solució de seguretat, es recomana bloquejar l'accés als ports de xarxa 5985, 5986 i 1270.
A més de CVE-2021-38647, OMI 1.6.8.1 també aborda tres vulnerabilitats (CVE-2021-38648, CVE-2021-38645 i CVE-2021-38649) que podrien permetre a un usuari local sense privilegis executar codi com a root.
Font: opennet.ru