Виртуалды машиналарда Linux қолданатын Microsoft Azure бұлттық платформасының тұтынушылары кодты түбір ретінде қашықтан орындауға мүмкіндік беретін маңызды осалдықпен (CVE-2021-38647) кездесті. Осалдықтың кодтық атауы OMIGOD болды және мәселе Linux орталарында тыныш орнатылған OMI Agent қолданбасында бар екендігімен ерекшеленеді.
OMI агенті Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics және Azure Container Insights сияқты қызметтерді пайдалану кезінде автоматты түрде орнатылады және іске қосылады. Мысалы, бақылау қосылған Azure жүйесіндегі Linux орталары шабуылға ұшырайды. Агент IT инфрақұрылымын басқаруға арналған DMTF CIM/WBEM стекін іске асырумен OMI (Ашық басқару инфрақұрылымының агенті) ашық пакетінің бөлігі болып табылады.
OMI агенті жүйеде omsagent пайдаланушысы астында орнатылады және сценарийлер қатарын түбір ретінде іске қосу үшін /etc/sudoers ішінде параметрлерді жасайды. Кейбір қызметтердің жұмыс істеуі кезінде 5985, 5986 және 1270 желілік порттарда тыңдау желісінің розеткалары жасалады. Shodan қызметінде сканерлеу желіде 15 мыңнан астам осал Linux орталарының бар екенін көрсетеді. Қазіргі уақытта эксплуатацияның жұмыс прототипі қоғамдық доменде орналастырылған, бұл сіздің кодыңызды осындай жүйелерде түбір ретінде орындауға мүмкіндік береді.
Мәселе Azure-дің OMI пайдалануын нақты құжаттамауы және OMI Агентінің ескертусіз орнатылғандығымен қиындады - ортаны орнату кезінде таңдалған қызметтің шарттарымен келісу жеткілікті және OMI Агенті автоматты түрде іске қосылады, яғни пайдаланушылардың көпшілігі оның бар екенін білмейді.
Пайдалану әдісі тривиальды - аутентификацияға жауапты тақырыпты алып тастап, агентке XML сұрауын жіберу жеткілікті. OMI клиенттің белгілі бір пәрменді жіберуге рұқсаты бар екенін тексере отырып, басқару хабарларын қабылдау кезінде аутентификацияны пайдаланады. Осалдықтың мәні мынада: аутентификацияға жауапты «Түпнұсқалық растама» тақырыбы хабарламадан жойылған кезде сервер тексеруді сәтті деп санайды, басқару хабарламасын қабылдайды және түбірлік құқықтары бар командаларды орындауға мүмкіндік береді. Жүйеде ерікті командаларды орындау үшін хабарламада стандартты ExecuteShellCommand_INPUT пәрменін пайдалану жеткілікті. Мысалы, "id" утилитасын іске қосу үшін сұрауды жіберу жеткілікті: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k --data-binary "@http_body. txt" https://10.0.0.5. 5986:3/wsman … идентификатор 2003
Microsoft корпорациясы осалдықты түзететін OMI 1.6.8.1 жаңартуын әлдеқашан шығарған, бірақ ол Microsoft Azure пайдаланушыларына әлі жеткізілген жоқ (жаңа орталарда OMI ескі нұсқасы әлі орнатылуда). Агентті автоматты жаңартуға қолдау көрсетілмейді, сондықтан пайдаланушылар Debian/Ubuntu жүйесінде "dpkg -l omi" немесе Fedora/RHEL жүйесінде "rpm -qa omi" арқылы буманы қолмен жаңартуы керек. Қауіпсіздікті шешу үшін 5985, 5986 және 1270 желі порттарына кіруді блоктау ұсынылады.
CVE-2021-38647-ге қосымша, OMI 1.6.8.1 артықшылығы жоқ жергілікті пайдаланушыға өз кодын түбірлік ретінде орындауға мүмкіндік беретін үш осалдықты (CVE-2021-38648, CVE-2021-38645 және CVE-2021-38649) түзетеді. .
Ақпарат көзі: opennet.ru