Tha luchd-ceannach àrd-ùrlar sgòthan Microsoft Azure a’ cleachdadh Linux ann an innealan brìgheil air tighinn tarsainn air so-leòntachd èiginneach (CVE-2021-38647) a leigeas le còd iomallach a chuir an gnìomh le còraichean freumh. Chaidh an so-leòntachd a chòdachadh mar OMIGOD agus tha e sònraichte leis gu bheil an duilgheadas an làthair anns an tagradh OMI Agent, a tha air a chuir a-steach gu sàmhach ann an àrainneachdan Linux.
Tha OMI Agent air a chuir a-steach gu fèin-ghluasadach agus air a ghnìomhachadh nuair a bhios tu a’ cleachdadh seirbheisean leithid Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics, agus Azure Container Insights. Mar eisimpleir, tha àrainneachdan Linux ann an Azure airson a bheil sgrùdadh air a chomasachadh buailteach ionnsaigh. Tha an neach-ionaid na phàirt den phasgan fosgailte OMI (Open Management Infrastructure Agent) le buileachadh stac DMTF CIM / WBEM airson riaghladh bun-structair IT.
Tha OMI Agent air a chuir a-steach air an t-siostam fon neach-cleachdaidh omsagent agus a’ cruthachadh shuidheachaidhean ann an / etc/sudoers gus sreath de sgriobtaichean a ruith le còraichean freumha. Rè obrachadh cuid de sheirbheisean, thèid socaidean lìonra èisteachd a chruthachadh air puirt lìonra 5985, 5986 agus 1270. Tha sganadh ann an seirbheis Shodan a’ sealltainn gu bheil barrachd air 15 mìle àrainneachdan so-leònte Linux air an lìonra. An-dràsta, tha prototype obrach den brath air a bhith ri fhaighinn gu poblach mu thràth, a’ toirt cothrom dhut do chòd a chuir an gnìomh le còraichean freumha air na siostaman sin.
Tha an duilgheadas air a dhèanamh nas miosa leis nach eil cleachdadh OMI air a chlàradh gu soilleir ann an Azure agus tha an Agent OMI air a chuir a-steach gun rabhadh - feumaidh tu dìreach aontachadh ri cumhachan na seirbheis taghte nuair a bhios tu a’ stèidheachadh na h-àrainneachd agus bidh an Agent OMI air a ghnìomhachadh gu fèin-ghluasadach, i.e. chan eil a’ mhòr-chuid de luchd-cleachdaidh eadhon mothachail air a làthaireachd.
Tha an dòigh brathaidh gu math beag - dìreach cuir iarrtas XML chun neach-ionaid, a’ toirt air falbh am bann-cinn le uallach airson dearbhadh. Bidh OMI a’ cleachdadh dearbhadh nuair a gheibh e teachdaireachdan smachd, a’ dearbhadh gu bheil còir aig an neach-dèiligidh òrdugh sònraichte a chuir. Is e brìgh an so-leòntachd nuair a thèid an bann-cinn “Dearbhadh”, air a bheil uallach airson dearbhadh, a thoirt air falbh bhon teachdaireachd, bidh am frithealaiche den bheachd gu bheil an dearbhadh soirbheachail, a’ gabhail ris an teachdaireachd smachd agus a’ leigeil le òrdughan a bhith air an cur an gnìomh le còraichean freumha. Gus òrdughan neo-riaghailteach a chuir an gnìomh san t-siostam, tha e gu leòr an àithne àbhaisteach ExecuteShellCommand_INPUT a chleachdadh anns an teachdaireachd. Mar eisimpleir, gus an goireas “id” a chuir air bhog, dìreach cuir iarrtas: curl -H “Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5:5986/wsman ... id 3
Tha Microsoft mu thràth air an ùrachadh OMI 1.6.8.1 a leigeil ma sgaoil a shocraicheas an so-leòntachd, ach cha deach a lìbhrigeadh fhathast do luchd-cleachdaidh Microsoft Azure (tha an seann dreach de OMI fhathast air a chuir a-steach ann an àrainneachdan ùra). Chan eil taic ri ùrachaidhean àidseant fèin-ghluasadach, agus mar sin feumaidh luchd-cleachdaidh ùrachadh pacaid làimhe a dhèanamh a’ cleachdadh na h-òrdughan “dpkg -l omi” air Debian/Ubuntu no “rpm -qa omi” air Fedora/RHEL. Mar fhuasgladh tèarainteachd, thathas a’ moladh casg a chuir air ruigsinneachd gu puirt lìonra 5985, 5986, agus 1270.
A bharrachd air CVE-2021-38647, tha OMI 1.6.8.1 cuideachd a’ dèiligeadh ri trì so-leòntachd (CVE-2021-38648, CVE-2021-38645, agus CVE-2021-38649) a dh’ fhaodadh leigeil le neach-cleachdaidh ionadail gun bhuannachd còd a chuir an gnìomh mar fhreumh.
Source: fosgailtenet.ru