Kunden der Microsoft Azure Cloud-Plattform, die Linux in virtuellen Maschinen verwenden, sind auf eine kritische Schwachstelle (CVE-2021-38647) gestoßen, die eine Remote-Codeausführung als Root ermöglicht. Die Sicherheitslücke trug den Codenamen OMIGOD und zeichnet sich dadurch aus, dass das Problem in der OMI-Agent-Anwendung auftritt, die stillschweigend in Linux-Umgebungen installiert wird.
Der OMI-Agent wird automatisch installiert und aktiviert, wenn Dienste wie Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics und Azure Container Insights verwendet werden. Beispielsweise sind Linux-Umgebungen in Azure, für die die Überwachung aktiviert ist, dem Angriff ausgesetzt. Der Agent ist Teil des offenen Pakets OMI (Open Management Infrastructure Agent) mit der Implementierung des DMTF CIM/WBEM-Stacks für das IT-Infrastrukturmanagement.
Der OMI-Agent wird auf dem System unter dem Benutzer omsagent installiert und erstellt Einstellungen in /etc/sudoers, um eine Reihe von Skripten als Root auszuführen. Während des Betriebs einiger Dienste werden lauschende Netzwerk-Sockets auf den Netzwerkports 5985, 5986 und 1270 erstellt. Das Scannen im Shodan-Dienst zeigt das Vorhandensein von mehr als 15 anfälligen Linux-Umgebungen im Netzwerk. Derzeit wurde bereits ein funktionierender Prototyp des Exploits öffentlich zugänglich gemacht, der es Ihnen ermöglicht, Ihren Code als Root auf solchen Systemen auszuführen.
Das Problem wird durch die Tatsache verschärft, dass Azure die Verwendung von OMI nicht explizit dokumentiert und der OMI-Agent ohne Vorwarnung installiert wird. Es reicht aus, beim Einrichten der Umgebung den Bedingungen des ausgewählten Dienstes zuzustimmen, und der OMI-Agent wird automatisch aktiviert. d.h. Die meisten Benutzer sind sich seiner Anwesenheit nicht einmal bewusst.
Die Ausnutzungsmethode ist trivial – es reicht aus, eine XML-Anfrage an den Agenten zu senden und dabei den für die Authentifizierung verantwortlichen Header zu entfernen. OMI verwendet beim Empfang von Steuernachrichten eine Authentifizierung und überprüft so, ob der Client berechtigt ist, einen bestimmten Befehl zu senden. Der Kern der Sicherheitslücke besteht darin, dass der Server die Überprüfung als erfolgreich betrachtet, die Kontrollnachricht akzeptiert und die Ausführung von Befehlen mit Root-Rechten zulässt, wenn der für die Authentifizierung verantwortliche Header „Authentication“ aus der Nachricht entfernt wird. Um beliebige Befehle im System auszuführen, reicht es aus, den Standardbefehl ExecuteShellCommand_INPUT in der Nachricht zu verwenden. Um beispielsweise das Dienstprogramm „id“ auszuführen, reicht es aus, eine Anfrage zu senden: curl -H „Content-Type: application/soap+xml;charset=UTF-8“ -k --data-binary „@http_body. txt" https://10.0.0.5:5986/wsman … Ausweis 3
Microsoft hat das OMI 1.6.8.1-Update mit der Behebung der Schwachstelle bereits veröffentlicht, es wurde jedoch noch nicht für Microsoft Azure-Benutzer bereitgestellt (in neuen Umgebungen wird weiterhin die alte Version von OMI installiert). Die automatische Aktualisierung des Agenten wird nicht unterstützt, daher müssen Benutzer das Paket manuell mit „dpkg -l omi“ unter Debian/Ubuntu oder „rpm -qa omi“ unter Fedora/RHEL aktualisieren. Um die Sicherheit zu umgehen, wird empfohlen, den Zugriff auf die Netzwerkports 5985, 5986 und 1270 zu blockieren.
Zusätzlich zu CVE-2021-38647 behebt OMI 1.6.8.1 auch drei Schwachstellen (CVE-2021-38648, CVE-2021-38645 und CVE-2021-38649), die es einem unprivilegierten lokalen Benutzer ermöglichen könnten, seinen Code als Root auszuführen .
Source: opennet.ru