Ang mga kustomer sa Microsoft Azure cloud platform nga naggamit sa Linux sa mga virtual machine nakasugat og kritikal nga kahuyang (CVE-2021-38647) nga nagtugot sa remote code execution uban sa root rights. Ang pagkahuyang gi-codenamed OMIGOD ug nabantog tungod sa kamatuoran nga ang problema naa sa aplikasyon sa OMI Agent, nga hilom nga na-install sa mga palibot sa Linux.
Awtomatikong gi-install ug gi-aktibo ang OMI Agent kung mogamit mga serbisyo sama sa Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics, ug Azure Container Insights. Pananglitan, ang mga palibot sa Linux sa Azure kung diin gipagana ang pag-monitor dali nga atakehon. Ang ahente kabahin sa bukas nga OMI (Open Management Infrastructure Agent) nga pakete uban ang pagpatuman sa DMTF CIM/WBEM stack alang sa IT infrastructure management.
Ang OMI Agent gi-install sa sistema ubos sa omsagent user ug nagmugna og mga setting sa /etc/sudoers aron magpadagan og serye sa mga script nga adunay mga katungod sa gamut. Atol sa operasyon sa pipila ka mga serbisyo, ang pagpaminaw sa mga socket sa network gihimo sa mga pantalan sa network 5985, 5986 ug 1270. Ang pag-scan sa serbisyo sa Shodan nagpakita sa presensya sa labaw pa sa 15 ka libo nga huyang nga Linux environment sa network. Sa pagkakaron, ang usa ka nagtrabaho nga prototype sa pagpahimulos anaa na sa publiko, nga nagtugot kanimo sa pagpatuman sa imong code nga adunay mga katungod sa gamut sa maong mga sistema.
Ang problema gipasamot sa kamatuoran nga ang paggamit sa OMI dili klaro nga dokumentado sa Azure ug ang OMI Agent gi-install nga walay pasidaan - kinahanglan lang nga mouyon ka sa mga termino sa pinili nga serbisyo sa dihang mag-set up sa palibot ug ang OMI Agent mahimong awtomatik nga gi-activate, i.e. kadaghanan sa mga tiggamit wala gani makahibalo sa presensya niini.
Ang paagi sa pagpahimulos gamay ra - magpadala lang usa ka XML nga hangyo sa ahente, tangtangon ang ulohan nga responsable sa pag-authenticate. Ang OMI naggamit sa authentication sa dihang nakadawat og mga mensahe sa pagkontrol, nga nagpamatuod nga ang kliyente adunay katungod sa pagpadala sa usa ka partikular nga sugo. Ang esensya sa pagkahuyang mao nga kung ang "Authentication" header, nga responsable sa pag-authenticate, gikuha gikan sa mensahe, gikonsiderar sa server nga malampuson ang pag-verify, gidawat ang mensahe sa pagkontrol ug gitugotan ang mga mando nga ipatuman nga adunay mga katungod sa gamut. Aron ipatuman ang arbitraryong mga sugo sa sistema, igo na nga gamiton ang standard nga ExecuteShellCommand_INPUT nga sugo sa mensahe. Pananglitan, aron ilunsad ang "id" utility, magpadala lang ug hangyo: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k βdata-binary "@http_body.txt" https: //10.0.0.5. 5986:3/wsman ... id 2003
Gipagawas na sa Microsoft ang pag-update sa OMI 1.6.8.1 nga nag-ayo sa kahuyang, apan wala pa kini ipadala sa mga tiggamit sa Microsoft Azure (ang daan nga bersyon sa OMI gi-install gihapon sa bag-ong mga palibot). Ang mga awtomatikong pag-update sa ahente dili suportado, busa ang mga tiggamit kinahanglan nga maghimo usa ka manwal nga pag-update sa pakete gamit ang mga mando nga "dpkg -l omi" sa Debian/Ubuntu o "rpm -qa omi" sa Fedora/RHEL. Ingon usa ka solusyon sa seguridad, girekomenda nga babagan ang pag-access sa mga pantalan sa network 5985, 5986, ug 1270.
Dugang sa CVE-2021-38647, ang OMI 1.6.8.1 nagtubag usab sa tulo ka mga kahuyangan (CVE-2021-38648, CVE-2021-38645, ug CVE-2021-38649) nga makatugot sa usa ka walay pribilihiyo nga lokal nga tiggamit sa pagpatuman sa code.
Source: opennet.ru