I clienti di a piattaforma nuvola Microsoft Azure chì utilizanu Linux in macchine virtuali anu scontru una vulnerabilità critica (CVE-2021-38647) chì permette l'esecuzione di codice remota cù diritti di root. A vulnerabilità era codenamed OMIGOD è hè notu per u fattu chì u prublema hè presente in l'applicazione OMI Agent, chì hè stallatu tranquillamente in ambienti Linux.
L'Agente OMI hè stallatu è attivatu automaticamente quandu si usanu servizii cum'è Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics è Azure Container Insights. Per esempiu, l'ambienti Linux in Azure per i quali u monitoraghju hè attivatu sò suscettibili à l'attaccu. L'agente face parte di u pacchettu apertu OMI (Open Management Infrastructure Agent) cù l'implementazione di a pila DMTF CIM/WBEM per a gestione di l'infrastruttura IT.
L'Agente OMI hè stallatu in u sistema sottu l'utente omsagent è crea paràmetri in /etc/sudoers per eseguisce una seria di script cù diritti di root. Duranti l'operazione di certi servizii, i sockets di rete d'ascoltu sò creati nantu à i porti di rete 5985, 5986 è 1270. Scanning in u serviziu Shodan mostra a prisenza di più di 15 mila ambienti Linux vulnerabili in a reta. Attualmente, un prototipu di travagliu di u sfruttamentu hè digià dispunibule publicamente, chì vi permette di eseguisce u vostru codice cù diritti di root in tali sistemi.
U prublema hè aggravatu da u fattu chì l'usu di l'OMI ùn hè micca esplicitamente documentatu in Azure è l'Agente OMI hè stallatu senza avvisu - basta à accettà i termini di u serviziu selezziunatu quandu stabilisce l'ambienti è l'Agente OMI serà. attivatu automaticamente, i.e. a maiò parte di l'utilizatori ùn sò ancu cuscenti di a so prisenza.
U metudu di sfruttamentu hè triviale - basta à mandà una dumanda XML à l'agente, eliminendu l'intestazione rispunsevuli di l'autentificazione. OMI usa l'autentificazione quandu riceve missaghji di cuntrollu, verificate chì u cliente hà u dirittu di mandà un cumandamentu particulari. L'essenza di a vulnerabilità hè chì quandu l'intestazione "Autentificazione", chì hè rispunsevuli di l'autentificazione, hè eliminata da u messagiu, u servitore cunsidereghja a verificazione successu, accetta u missaghju di cuntrollu è permette cumandamenti per esse eseguitu cù diritti di root. Per eseguisce cumandamenti arbitrarii in u sistema, hè abbastanza à aduprà u cumandimu standard ExecuteShellCommand_INPUT in u messagiu. Per esempiu, per lancià l'utilità "id", basta à mandà una dumanda: curl -H "Tipu di cuntenutu: application/soap+xml;charset=UTF-8" -k -data-binary "@http_body.txt" https: //10.0.0.5:5986/wsman ... id 3
Microsoft hà digià publicatu l'aghjurnamentu di l'OMI 1.6.8.1 chì corregge a vulnerabilità, ma ùn hè ancu statu furnitu à l'utilizatori di Microsoft Azure (a versione antica di OMI hè sempre stallata in novi ambienti). L'aghjurnamenti automatichi di l'agenti ùn sò micca supportati, cusì l'utilizatori devenu esse realizatu un aghjurnamentu manuale di u pacchettu utilizendu i cumandamenti "dpkg -l omi" in Debian/Ubuntu o "rpm -qa omi" in Fedora/RHEL. Cum'è una soluzione di sicurezza, hè cunsigliatu per bluccà l'accessu à i porti di rete 5985, 5986 è 1270.
In più di CVE-2021-38647, OMI 1.6.8.1 affronta ancu trè vulnerabilità (CVE-2021-38648, CVE-2021-38645, è CVE-2021-38649) chì puderanu permette à un utilizatore locale senza privilegiu per eseguisce codice cum'è root.
Source: opennet.ru