Klientoj de Microsoft Azure-nuba platformo uzantaj Linukso en virtualaj maŝinoj renkontis kritikan vundeblecon (CVE-2021-38647), kiu permesas foran kodon ekzekuti kiel radiko. La vundebleco estis kodita OMIGOD kaj estas rimarkinda pro la fakto, ke la problemo ĉeestas en la aplikaĵo OMI Agent, kiu estas kviete instalita en Linukso-medioj.
OMI-Agente estas aŭtomate instalita kaj aktivigita kiam vi uzas servojn kiel Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics kaj Azure Container Insights. Ekzemple, Linukso-medioj en Azure por kiuj monitorado estas ebligita estas submetataj al la atako. La agento estas parto de la malferma pako OMI (Open Management Infrastructure Agent) kun la efektivigo de la DMTF CIM/WBEM-stako por IT-infrastrukturadministrado.
La OMI-Agente estas instalita en la sistemo sub la omsagent-uzanto kaj kreas agordojn en /etc/sudoers por ruli serion de skriptoj kiel radiko. Dum la funkciado de iuj servoj, aŭskultantaj retaj ingoj estas kreitaj sur retaj havenoj 5985, 5986 kaj 1270. Skanado en la servo Shodan montras la ĉeeston de pli ol 15 mil vundeblaj Linuksaj medioj en la reto. Nuntempe, funkcianta prototipo de la ekspluato jam estis metita en la publikan domajnon, permesante al vi ekzekuti vian kodon kiel radikon sur tiaj sistemoj.
La problemo estas pligravigita de la fakto, ke Azure ne eksplicite dokumentas la uzon de OMI kaj OMI-Agente estas instalita sen averto - sufiĉas konsenti kun la kondiĉoj de la elektita servo dum agordo de la medio kaj OMI-Agente estos aŭtomate aktivigita, t.e. plej multaj uzantoj eĉ ne konscias pri ĝia ĉeesto.
La metodo de ekspluatado estas bagatela - sufiĉas sendi XML-peton al la agento, forigante la kaplinion respondecan por aŭtentigo. OMI uzas aŭtentikigon dum ricevado de kontrolmesaĝoj, kontrolante ke la kliento estas rajtigita sendi specialan komandon. La esenco de la vundebleco estas, ke kiam la kaplinio "Aŭtentikigo" respondeca pri aŭtentigo estas forigita de la mesaĝo, la servilo konsideras la konfirmon sukcesa, akceptas la kontrolon mesaĝon kaj permesas la ekzekuton de komandoj kun radikaj privilegioj. Por ekzekuti arbitrajn komandojn en la sistemo, sufiĉas uzi la norman ExecuteShellCommand_INPUT komandon en la mesaĝo. Ekzemple, por ruli la ilon "id", sufiĉas sendi peton: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k --data-binary "@http_body. txt" https://10.0.0.5:5986/wsman … id 3
Mikrosofto jam publikigis la ĝisdatigon de OMI 1.6.8.1 kun la riparo por la vundebleco, sed ĝi ankoraŭ ne estis alportita al uzantoj de Microsoft Azure (en novaj medioj, la malnova versio de OMI ankoraŭ estas instalita). Agenta aŭtomata ĝisdatigo ne estas subtenata, do uzantoj devas mane ĝisdatigi la pakaĵon uzante "dpkg -l omi" ĉe Debian/Ubuntu aŭ "rpm -qa omi" ĉe Fedora/RHEL. Kiel sekureca solvo, oni rekomendas bloki aliron al retaj havenoj 5985, 5986 kaj 1270.
Krom CVE-2021-38647, OMI 1.6.8.1 ankaŭ riparas tri vundeblecojn (CVE-2021-38648, CVE-2021-38645 kaj CVE-2021-38649) kiuj povus permesi al senprivilegia loka uzanto ekzekuti sian kodon kiel radiko. .
fonto: opennet.ru