Korisnici Microsoft Azure platforme u oblaku koji koriste Linux u virtualnim strojevima naišli su na kritičnu ranjivost (CVE-2021-38647) koja dopušta daljinsko izvršavanje koda s root pravima. Ranjivost je dobila kodni naziv OMIGOD i poznata je po tome što je problem prisutan u aplikaciji OMI Agent, koja je tiho instalirana u Linux okruženjima.
OMI Agent se automatski instalira i aktivira kada se koriste usluge kao što su Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics i Azure Container Insights. Na primjer, Linux okruženja u Azureu za koja je omogućen nadzor podložna su napadima. Agent je dio otvorenog OMI (Open Management Infrastructure Agent) paketa s implementacijom DMTF CIM/WBEM stacka za upravljanje IT infrastrukturom.
OMI Agent instaliran je na sustav pod korisnikom omsagent i stvara postavke u /etc/sudoers za pokretanje niza skripti s root pravima. Tijekom rada nekih servisa stvaraju se prisluškujući mrežni soketi na mrežnim portovima 5985, 5986 i 1270. Skeniranje u Shodan servisu pokazuje prisutnost više od 15 tisuća ranjivih Linux okruženja na mreži. Trenutno je radni prototip eksploatacije već javno dostupan, što vam omogućuje da izvršite svoj kod s root pravima na takvim sustavima.
Problem je pogoršan činjenicom da korištenje OMI-ja nije izričito dokumentirano u Azureu i da se OMI Agent instalira bez upozorenja - samo trebate pristati na uvjete odabrane usluge prilikom postavljanja okruženja i OMI Agent će biti automatski se aktivira, tj. većina korisnika nije ni svjesna njegove prisutnosti.
Metoda iskorištavanja je trivijalna - samo pošaljite XML zahtjev agentu, uklanjajući zaglavlje odgovorno za autentifikaciju. OMI koristi autentifikaciju prilikom primanja kontrolnih poruka, potvrđujući da klijent ima pravo poslati određenu naredbu. Suština ranjivosti je da kada se iz poruke ukloni zaglavlje “Authentication” koje je odgovorno za autentifikaciju, poslužitelj provjeru smatra uspješnom, prihvaća kontrolnu poruku i dopušta izvršavanje naredbi s root pravima. Za izvršavanje proizvoljnih naredbi u sustavu dovoljno je koristiti standardnu naredbu ExecuteShellCommand_INPUT u poruci. Na primjer, za pokretanje uslužnog programa “id”, samo pošaljite zahtjev: curl -H “Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5. 5986:3/wsman ... iskaznica 2003
Microsoft je već izdao ažuriranje OMI 1.6.8.1 koje ispravlja ranjivost, ali još nije isporučeno korisnicima Microsoft Azure (stara verzija OMI-ja još uvijek je instalirana u novim okruženjima). Automatska ažuriranja agenta nisu podržana, tako da korisnici moraju izvršiti ručno ažuriranje paketa pomoću naredbi "dpkg -l omi" na Debian/Ubuntu ili "rpm -qa omi" na Fedora/RHEL. Kao sigurnosno rješenje, preporučuje se blokiranje pristupa mrežnim priključcima 5985, 5986 i 1270.
Uz CVE-2021-38647, OMI 1.6.8.1 također rješava tri ranjivosti (CVE-2021-38648, CVE-2021-38645 i CVE-2021-38649) koje bi mogle dopustiti neprivilegiranom lokalnom korisniku da izvrši kod kao root.
Izvor: opennet.ru