ភាពងាយរងគ្រោះដែលត្រូវបានកេងប្រវ័ញ្ចពីចម្ងាយនៅក្នុងភ្នាក់ងារ OMI ដែលដាក់ក្នុងបរិស្ថាន Microsoft Azure Linux

អតិថិជននៃវេទិកាពពក Microsoft Azure ដោយប្រើលីនុចនៅក្នុងម៉ាស៊ីននិម្មិតបានជួបប្រទះភាពងាយរងគ្រោះដ៏សំខាន់ (CVE-2021-38647) ដែលអនុញ្ញាតឱ្យដំណើរការកូដពីចម្ងាយដោយប្រើសិទ្ធិជា root ។ ភាពងាយរងគ្រោះនេះត្រូវបានគេដាក់ឈ្មោះកូដថា OMIGOD ហើយគួរឱ្យកត់សម្គាល់ចំពោះការពិតដែលថាបញ្ហានេះមានវត្តមាននៅក្នុងកម្មវិធី OMI Agent ដែលត្រូវបានដំឡើងដោយស្ងាត់ស្ងៀមនៅក្នុងបរិស្ថានលីនុច។

ភ្នាក់ងារ OMI ត្រូវបានដំឡើង និងដំណើរការដោយស្វ័យប្រវត្តិ នៅពេលប្រើប្រាស់សេវាកម្មដូចជា Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics និង Azure Container Insights ។ ឧទាហរណ៍ បរិស្ថានលីនុចនៅក្នុង Azure ដែលការត្រួតពិនិត្យត្រូវបានបើកគឺងាយនឹងវាយប្រហារ។ ភ្នាក់ងារគឺជាផ្នែកមួយនៃកញ្ចប់ OMI (Open Management Infrastructure Agent) ជាមួយនឹងការអនុវត្តន៍ DMTF CIM/WBEM stack សម្រាប់ការគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ IT ។

ភ្នាក់ងារ OMI ត្រូវបានដំឡើងនៅលើប្រព័ន្ធក្រោមអ្នកប្រើប្រាស់ omsagent ហើយបង្កើតការកំណត់នៅក្នុង /etc/sudoers ដើម្បីដំណើរការស៊េរីនៃស្គ្រីបដែលមានសិទ្ធិជា root ។ ក្នុងអំឡុងពេលប្រតិបត្តិការនៃសេវាកម្មមួយចំនួន រន្ធបណ្តាញស្តាប់ត្រូវបានបង្កើតឡើងនៅលើច្រកបណ្តាញ 5985, 5986 និង 1270។ ការស្កែននៅក្នុងសេវាកម្ម Shodan បង្ហាញពីវត្តមាននៃបរិស្ថានលីនុចដែលងាយរងគ្រោះជាង 15 ពាន់នៅលើបណ្តាញ។ បច្ចុប្បន្ននេះ គំរូការងារនៃការកេងប្រវ័ញ្ចត្រូវបានដាក់ឱ្យប្រើប្រាស់ជាសាធារណៈរួចហើយ ដែលអនុញ្ញាតឱ្យអ្នកប្រតិបត្តិកូដរបស់អ្នកជាមួយនឹងសិទ្ធិជា root នៅលើប្រព័ន្ធបែបនេះ។

បញ្ហាកាន់តែធ្ងន់ធ្ងរឡើងដោយសារការពិតដែលថាការប្រើប្រាស់ OMI មិនត្រូវបានចងក្រងជាឯកសារច្បាស់លាស់នៅក្នុង Azure ហើយភ្នាក់ងារ OMI ត្រូវបានដំឡើងដោយគ្មានការព្រមាន - អ្នកគ្រាន់តែត្រូវយល់ព្រមនឹងលក្ខខណ្ឌនៃសេវាកម្មដែលបានជ្រើសរើសនៅពេលរៀបចំបរិស្ថាន ហើយភ្នាក់ងារ OMI នឹងត្រូវបាន បានធ្វើឱ្យសកម្មដោយស្វ័យប្រវត្តិ, i.e. អ្នកប្រើប្រាស់ភាគច្រើនមិនបានដឹងអំពីវត្តមានរបស់វាទេ។

វិធីសាស្ត្រកេងប្រវ័ញ្ចគឺតូចតាច - គ្រាន់តែផ្ញើសំណើ XML ទៅកាន់ភ្នាក់ងារ ដោយយកបឋមកថាដែលទទួលខុសត្រូវចំពោះការផ្ទៀងផ្ទាត់។ OMI ប្រើការផ្ទៀងផ្ទាត់នៅពេលទទួលសារត្រួតពិនិត្យ ដោយផ្ទៀងផ្ទាត់ថាអតិថិជនមានសិទ្ធិផ្ញើពាក្យបញ្ជាជាក់លាក់មួយ។ ខ្លឹមសារនៃភាពងាយរងគ្រោះគឺថានៅពេលដែលបឋមកថា "ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ" ដែលទទួលខុសត្រូវចំពោះការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រូវបានដកចេញពីសារនោះ ម៉ាស៊ីនមេចាត់ទុកថាការផ្ទៀងផ្ទាត់បានជោគជ័យ ទទួលយកសារត្រួតពិនិត្យ និងអនុញ្ញាតឱ្យពាក្យបញ្ជាត្រូវបានប្រតិបត្តិដោយសិទ្ធិជា root ។ ដើម្បីប្រតិបត្តិពាក្យបញ្ជាបំពាននៅក្នុងប្រព័ន្ធ វាគ្រប់គ្រាន់ក្នុងការប្រើពាក្យបញ្ជា ExecuteShellCommand_INPUT ស្តង់ដារនៅក្នុងសារ។ ឧទាហរណ៍ ដើម្បីបើកដំណើរការឧបករណ៍ប្រើប្រាស់ “id” គ្រាន់តែផ្ញើសំណើមួយ៖ curl -H “Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5. 5986:3/wsman ... លេខសម្គាល់ 2003

ក្រុមហ៊ុន Microsoft បានចេញផ្សាយការអាប់ដេត OMI 1.6.8.1 រួចហើយ ដែលជួសជុលភាពងាយរងគ្រោះ ប៉ុន្តែវាមិនទាន់ត្រូវបានបញ្ជូនទៅអ្នកប្រើប្រាស់ Microsoft Azure (កំណែចាស់របស់ OMI នៅតែត្រូវបានដំឡើងនៅក្នុងបរិស្ថានថ្មី)។ ការអាប់ដេតភ្នាក់ងារដោយស្វ័យប្រវត្តិមិនត្រូវបានគាំទ្រទេ ដូច្នេះអ្នកប្រើប្រាស់ត្រូវតែធ្វើបច្ចុប្បន្នភាពកញ្ចប់ដោយដៃដោយប្រើពាក្យបញ្ជា "dpkg -l omi" នៅលើ Debian/Ubuntu ឬ "rpm -qa omi" នៅលើ Fedora/RHEL ។ ក្នុងនាមជាដំណោះស្រាយសុវត្ថិភាព វាត្រូវបានណែនាំឱ្យបិទការចូលប្រើច្រកបណ្តាញ 5985, 5986 និង 1270។

បន្ថែមពីលើ CVE-2021-38647 OMI 1.6.8.1 ក៏ដោះស្រាយភាពងាយរងគ្រោះចំនួនបីផងដែរ (CVE-2021-38648, CVE-2021-38645 និង CVE-2021-38649) ដែលអាចអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ក្នុងតំបន់ដែលគ្មានសិទ្ធិអនុវត្តកូដជា root ។

ប្រភព: opennet.ru