A virtuális gépeken Linuxot használó Microsoft Azure felhőplatform ügyfelei kritikus biztonsági réssel (CVE-2021-38647) találkoztak, amely lehetővé teszi a távoli kódfuttatást root jogokkal. A biztonsági rés kódneve OMIGOD volt, és arról nevezetes, hogy a probléma az OMI Agent alkalmazásban van, amely csendesen telepíthető Linux környezetekben.
Az OMI Agent automatikusan települ és aktiválódik olyan szolgáltatások használatakor, mint az Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics és Azure Container Insights. Például az Azure-beli Linux-környezetek, amelyeknél engedélyezve van a figyelés, érzékenyek a támadásokra. Az ügynök a nyílt OMI (Open Management Infrastructure Agent) csomag része, amely tartalmazza a DMTF CIM/WBEM verem IT-infrastruktúra-kezeléshez.
Az OMI Agent az omsagent felhasználó alatt van telepítve a rendszerre, és az /etc/sudoers fájlban létrehozza a beállításokat egy sor szkript futtatásához root jogokkal. Egyes szolgáltatások működése során figyelő hálózati socketek jönnek létre az 5985-ös, 5986-os és 1270-es hálózati portokon. A Shodan szolgáltatásban végzett vizsgálat több mint 15 ezer sebezhető Linux környezet jelenlétét mutatja a hálózaton. Jelenleg az exploit működő prototípusa már nyilvánosan elérhető, lehetővé téve, hogy a kódot root jogokkal hajtsa végre az ilyen rendszereken.
A problémát súlyosbítja, hogy az OMI használata nincs kifejezetten dokumentálva az Azure-ban, és az OMI Agent figyelmeztetés nélkül telepítve van – csak el kell fogadnia a kiválasztott szolgáltatás feltételeit a környezet beállításakor, és az OMI Agent automatikusan aktiválódik, pl. a legtöbb felhasználó nem is tud a jelenlétéről.
A kiaknázási módszer triviális – csak küldjön egy XML-kérést az ügynöknek, eltávolítva a hitelesítésért felelős fejlécet. Az OMI hitelesítést használ a vezérlőüzenetek fogadásakor, ellenőrizve, hogy az ügyfél jogosult-e egy adott parancs küldésére. A sérülékenység lényege, hogy amikor a hitelesítésért felelős „Authentication” fejlécet eltávolítják az üzenetből, a szerver sikeresnek tekinti az ellenőrzést, elfogadja a vezérlőüzenetet, és root jogokkal engedélyezi a parancsok végrehajtását. Tetszőleges parancsok végrehajtásához a rendszerben elegendő a szabványos ExecuteShellCommand_INPUT parancsot használni az üzenetben. Például az „id” segédprogram elindításához csak küldjön egy kérést: curl -H „Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary „@http_body.txt” https: //10.0.0.5:5986/wsman ... id 3
A Microsoft már kiadta a biztonsági rést javító OMI 1.6.8.1-es frissítést, de azt még nem szállították ki a Microsoft Azure-felhasználóknak (az OMI régi verziója még mindig települ az új környezetekben). Az automatikus ügynökfrissítések nem támogatottak, ezért a felhasználóknak kézi csomagfrissítést kell végrehajtaniuk a "dpkg -l omi" parancsokkal Debian/Ubuntu vagy az "rpm -qa omi" parancsokkal Fedora/RHEL rendszeren. Biztonsági megoldásként javasoljuk, hogy blokkolja az 5985-ös, 5986-os és 1270-es hálózati portokhoz való hozzáférést.
A CVE-2021-38647 mellett az OMI 1.6.8.1 három sebezhetőséget is kiküszöböl (CVE-2021-38648, CVE-2021-38645 és CVE-2021-38649), amelyek lehetővé tehetik a jogosulatlan helyi felhasználó számára a kód futtatását rootként.
Forrás: opennet.ru