Microsoft Azure'i pilveplatvormi kliendid, kes kasutavad Linuxit virtuaalmasinates, on avastanud kriitilise haavatavusega (CVE-2021-38647), mis võimaldab juurõigustega koodi kaugkäivitamist. Haavatavuse koodnimetus oli OMIGOD ja see on tähelepanuväärne selle poolest, et probleem esineb OMI Agent rakenduses, mis on vaikselt Linuxi keskkondadesse installitud.
OMI agent installitakse ja aktiveeritakse automaatselt, kui kasutate selliseid teenuseid nagu Azure Automation, Azure'i automaatvärskendus, Azure'i operatsioonide halduskomplekt, Azure'i logianalüüs, Azure'i konfiguratsioonihaldus, Azure'i diagnostika ja Azure'i konteinerite ülevaade. Näiteks on Azure'i Linuxi keskkonnad, mille jälgimine on lubatud, rünnakutele vastuvõtlikud. Agent on osa avatud OMI (Open Management Infrastructure Agent) paketist, kus on juurutatud IT-infrastruktuuri haldamiseks mõeldud DMTF CIM/WBEM pinu.
OMI Agent installitakse süsteemi omsagendi kasutaja alla ja loob sätted kaustas /etc/sudoers, et käivitada seeria juurõigustega skripte. Mõnede teenuste töötamise ajal luuakse võrguportides 5985, 5986 ja 1270 kuulamisvõrgu pesad. Shodani teenuse skannimine näitab võrgus enam kui 15 tuhande haavatava Linuxi keskkonna olemasolu. Praegu on selle ärakasutamise töötav prototüüp juba avalikult saadaval, mis võimaldab teil sellistes süsteemides oma koodi käivitada juurõigustega.
Probleemi süvendab asjaolu, et OMI kasutamine pole Azure'is selgesõnaliselt dokumenteeritud ja OMI agent installitakse ilma hoiatuseta – keskkonna seadistamisel tuleb lihtsalt nõustuda valitud teenuse tingimustega ja OMI agent saab automaatselt aktiveeritud, st. enamik kasutajaid pole selle olemasolust isegi teadlikud.
Kasutusmeetod on triviaalne – lihtsalt saatke agendile XML-päring, eemaldades autentimise eest vastutava päise. OMI kasutab kontrollsõnumite vastuvõtmisel autentimist, kontrollides, kas kliendil on õigus saata konkreetne käsk. Haavatavuse olemus seisneb selles, et kui sõnumist eemaldatakse autentimise eest vastutav päis “Authentication”, loeb server kontrolli õnnestunuks, võtab kontrollteate vastu ja lubab käske täita juurõigustega. Suvaliste käskude täitmiseks süsteemis piisab, kui kasutada sõnumis standardset käsku ExecuteShellCommand_INPUT. Näiteks utiliidi „id” käivitamiseks saatke lihtsalt päring: curl -H „Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary „@http_body.txt” https: //10.0.0.5 5986:3/wsman ... id 2003
Microsoft on juba välja andnud OMI 1.6.8.1 värskenduse, mis haavatavust parandab, kuid seda pole veel Microsoft Azure'i kasutajatele tarnitud (OMI vana versioon on uutesse keskkondadesse endiselt installitud). Automaatseid agendivärskendusi ei toetata, seega peavad kasutajad paketi käsitsi värskendama, kasutades käske "dpkg -l omi" Debianis/Ubuntus või "rpm -qa omi" Fedoras/RHELis. Turvalahendusena on soovitatav blokeerida juurdepääs võrguportidele 5985, 5986 ja 1270.
Lisaks CVE-2021-38647-le tegeleb OMI 1.6.8.1 ka kolme haavatavusega (CVE-2021-38648, CVE-2021-38645 ja CVE-2021-38649), mis võivad lubada privilegeerimata kohalikul kasutajal koodi käivitada.
Allikas: opennet.ru