Remote ausnutzbare SicherheitsanfÀlligkeit im OMI-Agenten, der in Microsoft Azure-Linux-Umgebungen aufgezwungen wird

Kunden der Cloud-Plattform Microsoft Azure, die Linux auf virtuellen Maschinen verwenden, sind mit einer kritischen Schwachstelle (CVE-2021-38647) konfrontiert, die eine remote AusfĂŒhrung von Code mit Root-Rechten ermöglicht. Diese Schwachstelle mit dem Codenamen OMIGOD ist besonders bemerkenswert, da sie im OMI Agent auftritt, der unauffĂ€llig in Linux-Umgebungen installiert wird.

Der OMI Agent wird automatisch installiert und aktiviert, wenn Dienste wie Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics und Azure Container Insights genutzt werden. Beispielsweise sind Linux-Umgebungen in Azure, fĂŒr die das Monitoring aktiviert ist, anfĂ€llig fĂŒr Angriffe. Der Agent ist Teil des offenen OMI-Pakets (Open Management Infrastructure Agent) mit einer Implementierung des DMTF CIM/WBEM-Stacks zur Verwaltung von IT-Infrastruktur.

Der OMI-Agent wird im System unter dem Benutzer omsagent installiert und erstellt Einstellungen in /etc/sudoers, um eine Reihe von Skripten mit Root-Rechten auszufĂŒhren. WĂ€hrend des Betriebs bestimmter Dienste werden Netzwerk-Sockets auf den Ports 5985, 5986 und 1270 geöffnet. Ein Scan mit dem Shodan-Dienst zeigt, dass es im Netzwerk ĂŒber 15.000 anfĂ€llige Linux-Umgebungen gibt. Derzeit ist bereits ein funktionierender Exploit-Prototyp öffentlich zugĂ€nglich, der es ermöglicht, eigenen Code mit Root-Rechten auf solchen Systemen auszufĂŒhren.

Das Problem wird dadurch verschĂ€rft, dass in Azure die Verwendung von OMI nicht klar dokumentiert ist und der OMI-Agent ohne Vorwarnung installiert wird – es reicht aus, den Bedingungen des gewĂ€hlten Dienstes wĂ€hrend der Umgebungskonfiguration zuzustimmen, und der OMI-Agent wird automatisch aktiviert, sodass die meisten Benutzer nicht einmal von seiner Existenz wissen.

Die Methode ist einfach – es reicht, eine XML-Anfrage an den Agenten zu senden und den Header, der fĂŒr die Authentifizierung verantwortlich ist, zu entfernen. OMI verwendet die Authentifizierung beim Empfang von Steuerbefehlen, um sicherzustellen, dass der Client berechtigt ist, einen bestimmten Befehl auszufĂŒhren. Das Problem liegt darin, dass bei der Entfernung des Headers „Authentication“, der fĂŒr die Authentifizierung zustĂ€ndig ist, der Server der ÜberprĂŒfung als erfolgreich angesehen wird, das Steuerungssignal akzeptiert und das AusfĂŒhren von Befehlen mit Root-Rechten zulĂ€sst. Um beliebige Befehle im System auszufĂŒhren, reicht es aus, im Signal den Standardbefehl ExecuteShellCommand_INPUT zu verwenden. Zum Beispiel genĂŒgt es, die Anfrage zu senden: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k --data-binary "@http_body.txt" https://10.0.0.5:5986/wsman 


id

0

Microsoft hat bereits das Update OMI 1.6.8.1 veröffentlicht, das eine SicherheitsanfĂ€lligkeit behebt. Dieses Update ist jedoch noch nicht bei den Nutzern von Microsoft Azure angekommen (in neuen Umgebungen wird derzeit die alte Version von OMI installiert). Automatische Aktualisierungen des Agenten werden nicht unterstĂŒtzt, daher mĂŒssen die Nutzer das Paket manuell aktualisieren, indem sie die Befehle „dpkg -l omi“ in Debian/Ubuntu oder „rpm -qa omi“ in Fedora/RHEL verwenden. Zum Schutz wird empfohlen, den Zugang zu den Netzwerkports 5985, 5986 und 1270 zu blockieren.

Neben CVE-2021-38647 wurden in OMI 1.6.8.1 auch drei weitere Schwachstellen (CVE-2021-38648, CVE-2021-38645 und CVE-2021-38649) behoben, die es einem nicht privilegierten lokalen Benutzer ermöglichen, seinen Code mit Root-Rechten auszufĂŒhren.

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster