פגיעות הניתנת לניצול מרחוק בסוכן OMI שנכפה בסביבות Linux של Microsoft Azure

לקוחות של פלטפורמת הענן של Microsoft Azure המשתמשים ב-Linux במכונות וירטואליות נתקלו בפגיעות קריטית (CVE-2021-38647) המאפשרת ביצוע קוד מרחוק עם זכויות שורש. הפגיעות קיבלה את שם הקוד OMIGOD והיא בולטת בעובדה שהבעיה קיימת באפליקציית OMI Agent, המותקנת בשקט בסביבות לינוקס.

OMI Agent מותקן ומופעל באופן אוטומטי בעת שימוש בשירותים כגון Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics ו-Azure Container Insights. לדוגמה, סביבות לינוקס ב-Azure שעבורן מופעל ניטור רגישות להתקפות. הסוכן הוא חלק מחבילת OMI הפתוחה (Open Management Infrastructure Agent) עם הטמעת מחסנית DMTF CIM/WBEM לניהול תשתיות IT.

OMI Agent מותקן במערכת תחת משתמש omsagent ויוצר הגדרות ב-/etc/sudoers להפעלת סדרה של סקריפטים עם זכויות שורש. במהלך ההפעלה של שירותים מסוימים, נוצרים שקעי רשת האזנה ביציאות הרשת 5985, 5986 ו-1270. סריקה בשירות Shodan מראה נוכחות של יותר מ-15 אלף סביבות לינוקס פגיעות ברשת. נכון לעכשיו, אב טיפוס עובד של הניצול כבר היה זמין לציבור, ומאפשר לך להפעיל את הקוד שלך עם זכויות שורש במערכות כאלה.

הבעיה מחמירה בשל העובדה שהשימוש ב-OMI אינו מתועד במפורש ב-Azure וה-OMI Agent מותקן ללא אזהרה - רק צריך להסכים לתנאי השירות הנבחר בעת הגדרת הסביבה וה-OMI Agent יהיה מופעל אוטומטית, כלומר. רוב המשתמשים אפילו לא מודעים לנוכחותו.

שיטת הניצול היא טריוויאלית - פשוט שלח בקשת XML לסוכן, הסרת הכותרת האחראית על האימות. OMI משתמש באימות בעת קבלת הודעות בקרה, ומאמת שללקוח יש את הזכות לשלוח פקודה מסוימת. מהות הפגיעות היא שכאשר הכותרת "Authentication", האחראית על האימות, מוסרת מההודעה, השרת רואה שהאימות מוצלח, מקבל את הודעת הבקרה ומאפשר לבצע פקודות עם זכויות שורש. כדי לבצע פקודות שרירותיות במערכת, מספיק להשתמש בפקודה הסטנדרטית ExecuteShellCommand_INPUT בהודעה. לדוגמה, כדי להפעיל את כלי השירות "id", פשוט שלח בקשה: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5. 5986:3/wsman ... תְעוּדַת זֶהוּת 2003

מיקרוסופט כבר הוציאה את עדכון OMI 1.6.8.1 שמתקן את הפגיעות, אך הוא עדיין לא נמסר למשתמשי Microsoft Azure (הגרסה הישנה של OMI עדיין מותקנת בסביבות חדשות). עדכוני סוכנים אוטומטיים אינם נתמכים, לכן המשתמשים חייבים לבצע עדכון חבילה ידני באמצעות הפקודות "dpkg -l omi" ב-Debian/Ubuntu או "rpm -qa omi" ב-Fedora/RHEL. כפתרון אבטחה, מומלץ לחסום גישה ליציאות רשת 5985, 5986 ו-1270.

בנוסף ל-CVE-2021-38647, OMI 1.6.8.1 מטפל גם בשלוש נקודות תורפה (CVE-2021-38648, CVE-2021-38645 ו-CVE-2021-38649) שעלולות לאפשר למשתמש מקומי ללא הרשאות להפעיל קוד כשורש.

מקור: OpenNet.ru