Microsoft Azure ամպային պլատֆորմի հաճախորդները, որոնք օգտագործում են Linux-ը վիրտուալ մեքենաներում, բախվել են կրիտիկական խոցելիության (CVE-2021-38647), որը թույլ է տալիս հեռահար կոդի կատարումը որպես root: Խոցելիությունը ստացել է OMIGOD ծածկանունը և հատկանշական է նրանով, որ խնդիրն առկա է OMI Agent հավելվածում, որը անաղմուկ տեղադրվում է Linux միջավայրերում։
OMI Agent-ը ավտոմատ կերպով տեղադրվում և ակտիվանում է այնպիսի ծառայություններից օգտվելիս, ինչպիսիք են Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics և Azure Container Insights: Օրինակ, Linux միջավայրերը Azure-ում, որոնց համար մոնիտորինգը միացված է, ենթակա են հարձակման: Գործակալը հանդիսանում է OMI (Open Management Infrastructure Agent) բաց փաթեթի մի մասը՝ ՏՏ ենթակառուցվածքի կառավարման համար DMTF CIM/WBEM փաթեթի ներդրմամբ:
OMI Agent-ը տեղադրվում է համակարգի վրա omsagent օգտագործողի տակ և ստեղծում է կարգավորումներ /etc/sudoers-ում՝ մի շարք սկրիպտներ որպես root գործարկելու համար: Որոշ ծառայությունների շահագործման ընթացքում լսողական ցանցային վարդակներ են ստեղծվում 5985, 5986 և 1270 ցանցային նավահանգիստներում: Shodan ծառայության սկանավորումը ցույց է տալիս ցանցում ավելի քան 15 հազար խոցելի Linux միջավայրերի առկայությունը: Ներկայումս, շահագործման նախատիպն արդեն տեղադրվել է հանրային տիրույթում, որը թույլ է տալիս կատարել ձեր կոդը որպես արմատ նման համակարգերում:
Խնդիրը խորանում է նրանով, որ Azure-ը բացահայտորեն չի փաստում OMI-ի օգտագործումը, իսկ OMI գործակալը տեղադրվում է առանց նախազգուշացման. այսինքն. օգտատերերի մեծ մասը նույնիսկ տեղյակ չէ դրա առկայության մասին:
Շահագործման մեթոդը չնչին է. բավական է գործակալին ուղարկել XML հարցում՝ հեռացնելով վավերացման համար պատասխանատու վերնագիրը: OMI-ն օգտագործում է նույնականացում, երբ ստանում է հսկիչ հաղորդագրություններ՝ ստուգելով, որ հաճախորդը լիազորված է ուղարկել որոշակի հրաման: Խոցելիության էությունն այն է, որ երբ նույնականացման համար պատասխանատու «Authentication» վերնագիրը հանվում է հաղորդագրությունից, սերվերը ստուգումը համարում է հաջողված, ընդունում է հսկիչ հաղորդագրությունը և թույլ է տալիս կատարել արմատային իրավունքներով հրամաններ: Համակարգում կամայական հրամաններ կատարելու համար բավական է հաղորդագրության մեջ օգտագործել ստանդարտ ExecuteShellCommand_INPUT հրամանը։ Օրինակ՝ «id» կոմունալը գործարկելու համար բավական է հարցում ուղարկել՝ curl -H «Content-Type: application/soap+xml;charset=UTF-8» -k --data-binary «@http_body. txt" https://10.0.0.5. 5986:3/wsman … id 2003
Microsoft-ն արդեն թողարկել է OMI 1.6.8.1 թարմացումը խոցելիության շտկումով, սակայն այն դեռ չի ներկայացվել Microsoft Azure-ի օգտատերերին (նոր միջավայրերում OMI-ի հին տարբերակը դեռ տեղադրվում է): Գործակալի ավտոմատ թարմացումը չի ապահովվում, ուստի օգտվողները պետք է ձեռքով թարմացնեն փաթեթը՝ օգտագործելով «dpkg -l omi» Debian/Ubuntu-ում կամ «rpm -qa omi» Fedora/RHEL-ում: Որպես անվտանգության լուծում, խորհուրդ է տրվում արգելափակել մուտքը ցանցի 5985, 5986 և 1270 նավահանգիստներին:
Բացի CVE-2021-38647-ից, OMI 1.6.8.1-ը նաև շտկում է երեք խոցելիություն (CVE-2021-38648, CVE-2021-38645 և CVE-2021-38649), որոնք կարող են թույլ տալ ոչ արտոնված տեղական օգտատիրոջը որպես արմատային կոդը գործարկել: .
Source: opennet.ru