仮想マシンで Linux を使用している Microsoft Azure クラウド プラットフォームのお客様は、root 権限によるリモート コード実行を可能にする重大な脆弱性 (CVE-2021-38647) に遭遇しました。 この脆弱性は「OMIGOD」というコードネームで呼ばれており、Linux 環境に静かにインストールされる OMI エージェント アプリケーションに問題が存在するという事実で注目に値します。
OMI エージェントは、Azure Automation、Azure 自動更新、Azure Operations Management Suite、Azure Log Analytics、Azure Configuration Management、Azure Diagnostics、Azure Container Insights などのサービスを使用するときに自動的にインストールされ、アクティブ化されます。 たとえば、監視が有効になっている Azure の Linux 環境は攻撃を受けやすくなります。 このエージェントは、IT インフラストラクチャ管理用の DMTF CIM/WBEM スタックを実装したオープン OMI (Open Management Infrastructure Agent) パッケージの一部です。
OMI エージェントは、omsagent ユーザーの下でシステムにインストールされ、root 権限で一連のスクリプトを実行するための設定を /etc/sudoers に作成します。 一部のサービスの動作中に、ネットワーク ポート 5985、5986、および 1270 にリスニング ネットワーク ソケットが作成されます。Shodan サービスでスキャンすると、ネットワーク上に 15 を超える脆弱な Linux 環境が存在することがわかります。 現在、このエクスプロイトの実用的なプロトタイプはすでに公開されており、そのようなシステム上で root 権限でコードを実行できるようになります。
Azure では OMI の使用が明示的に文書化されておらず、OMI エージェントが警告なしにインストールされるため、問題はさらに悪化します。環境をセットアップするときに選択したサービスの条件に同意するだけでよく、OMI エージェントは自動的にアクティブ化されます。つまり、 ほとんどのユーザーはその存在にさえ気づきません。
悪用方法は簡単です。XML リクエストをエージェントに送信し、認証を担当するヘッダーを削除するだけです。 OMI は、制御メッセージを受信するときに認証を使用し、クライアントが特定のコマンドを送信する権利を持っているかどうかを確認します。 この脆弱性の本質は、認証を担う「Authentication」ヘッダーがメッセージから削除されると、サーバーは検証が成功したとみなして制御メッセージを受け入れ、root 権限でのコマンドの実行を許可することです。 システム内で任意のコマンドを実行するには、メッセージ内で標準の ExecuteShellCommand_INPUT コマンドを使用するだけで十分です。 たとえば、「id」ユーティリティを起動するには、次のリクエストを送信するだけです:curl -H “Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5:5986/wsman ... ID 3
Microsoft は、この脆弱性を修正する OMI 1.6.8.1 アップデートをすでにリリースしていますが、Microsoft Azure ユーザーにはまだ配信されていません (新しい環境には古いバージョンの OMI がまだインストールされています)。 エージェントの自動更新はサポートされていないため、ユーザーは、Debian/Ubuntu の場合は「dpkg -l omi」、Fedora/RHEL の場合は「rpm -qa omi」コマンドを使用して、手動でパッケージの更新を実行する必要があります。 セキュリティの回避策として、ネットワーク ポート 5985、5986、および 1270 へのアクセスをブロックすることをお勧めします。
CVE-2021-38647 に加えて、OMI 1.6.8.1 は、特権のないローカル ユーザーが root としてコードを実行できる可能性がある 2021 つの脆弱性 (CVE-38648-2021、CVE-38645-2021、および CVE-38649-XNUMX) にも対処しています。
出所: オープンネット.ru