๊ฐ์ ๋จธ์ ์์ Linux๋ฅผ ์ฌ์ฉํ๋ Microsoft Azure ํด๋ผ์ฐ๋ ํ๋ซํผ ๊ณ ๊ฐ์ ๋ฃจํธ ๊ถํ์ผ๋ก ์๊ฒฉ ์ฝ๋ ์คํ์ ํ์ฉํ๋ ์ฌ๊ฐํ ์ทจ์ฝ์ (CVE-2021-38647)์ ์ง๋ฉดํ์ต๋๋ค. ํด๋น ์ทจ์ฝ์ ์ ์ฝ๋๋ช OMIGOD๋ก ์ง์ ๋์์ผ๋ฉฐ Linux ํ๊ฒฝ์ ์กฐ์ฉํ ์ค์น๋๋ OMI ์์ด์ ํธ ์ ํ๋ฆฌ์ผ์ด์ ์ ๋ฌธ์ ๊ฐ ์กด์ฌํ๋ค๋ ์ ์์ ์ฃผ๋ชฉํ ๋งํฉ๋๋ค.
OMI ์์ด์ ํธ๋ Azure Automation, Azure ์๋ ์ ๋ฐ์ดํธ, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics ๋ฐ Azure Container Insights์ ๊ฐ์ ์๋น์ค๋ฅผ ์ฌ์ฉํ ๋ ์๋์ผ๋ก ์ค์น๋๊ณ ํ์ฑํ๋ฉ๋๋ค. ์๋ฅผ ๋ค์ด ๋ชจ๋ํฐ๋ง์ด ํ์ฑํ๋ Azure์ Linux ํ๊ฒฝ์ ๊ณต๊ฒฉ์ ์ทจ์ฝํฉ๋๋ค. ์์ด์ ํธ๋ IT ์ธํ๋ผ ๊ด๋ฆฌ๋ฅผ ์ํ DMTF CIM/WBEM ์คํ์ด ๊ตฌํ๋ ๊ฐ๋ฐฉํ OMI(๊ฐ๋ฐฉํ ๊ด๋ฆฌ ์ธํ๋ผ ์์ด์ ํธ) ํจํค์ง์ ์ผ๋ถ์ ๋๋ค.
OMI ์์ด์ ํธ๋ omsagent ์ฌ์ฉ์๋ก ์์คํ ์ ์ค์น๋๋ฉฐ /etc/sudoers์ ์ค์ ์ ์์ฑํ์ฌ ๋ฃจํธ ๊ถํ์ผ๋ก ์ผ๋ จ์ ์คํฌ๋ฆฝํธ๋ฅผ ์คํํฉ๋๋ค. ์ผ๋ถ ์๋น์ค๊ฐ ์๋ํ๋ ๋์ ๋คํธ์ํฌ ํฌํธ 5985, 5986 ๋ฐ 1270์ ์์ ๋๊ธฐ ๋คํธ์ํฌ ์์ผ์ด ์์ฑ๋ฉ๋๋ค. Shodan ์๋น์ค๋ฅผ ๊ฒ์ํ ๊ฒฐ๊ณผ ๋คํธ์ํฌ์ 15๊ฐ๊ฐ ๋๋ ์ทจ์ฝํ Linux ํ๊ฒฝ์ด ์กด์ฌํ๋ ๊ฒ์ผ๋ก ๋ํ๋ฌ์ต๋๋ค. ํ์ฌ, ์ต์คํ๋ก์์ ์์ ํ๋กํ ํ์ ์ด ์ด๋ฏธ ๊ณต๊ฐ๋์ด ์์ด ํด๋น ์์คํ ์์ ๋ฃจํธ ๊ถํ์ผ๋ก ์ฝ๋๋ฅผ ์คํํ ์ ์์ต๋๋ค.
OMI ์ฌ์ฉ์ด Azure์ ๋ช ์์ ์ผ๋ก ๋ฌธ์ํ๋์ด ์์ง ์๊ณ OMI ์์ด์ ํธ๊ฐ ๊ฒฝ๊ณ ์์ด ์ค์น๋๋ค๋ ์ฌ์ค๋ก ์ธํด ๋ฌธ์ ๊ฐ ๋์ฑ ์ ํ๋ฉ๋๋ค. ํ๊ฒฝ์ ์ค์ ํ ๋ ์ ํํ ์๋น์ค์ ์กฐ๊ฑด์ ๋์ํ๊ธฐ๋ง ํ๋ฉด OMI ์์ด์ ํธ๊ฐ ์ค์น๋ฉ๋๋ค. ์๋์ผ๋ก ํ์ฑํ๋ฉ๋๋ค. ๋๋ถ๋ถ์ ์ฌ์ฉ์๋ ๊ทธ ์กด์ฌ์กฐ์ฐจ ์ธ์ํ์ง ๋ชปํฉ๋๋ค.
์ ์ฉ ๋ฐฉ๋ฒ์ ๊ฐ๋จํฉ๋๋ค. ์ธ์ฆ์ ๋ด๋นํ๋ ํค๋๋ฅผ ์ ๊ฑฐํ๊ณ ์์ด์ ํธ์ XML ์์ฒญ์ ๋ณด๋ด๊ธฐ๋ง ํ๋ฉด ๋ฉ๋๋ค. OMI๋ ์ ์ด ๋ฉ์์ง๋ฅผ ๋ฐ์ ๋ ์ธ์ฆ์ ์ฌ์ฉํ์ฌ ํด๋ผ์ด์ธํธ๊ฐ ํน์ ๋ช ๋ น์ ๋ณด๋ผ ์ ์๋ ๊ถํ์ด ์๋์ง ํ์ธํฉ๋๋ค. ์ทจ์ฝ์ ์ ๋ณธ์ง์ ์ธ์ฆ์ ๋ด๋นํ๋ 'Authentication' ํค๋๊ฐ ๋ฉ์์ง์์ ์ ๊ฑฐ๋๋ฉด ์๋ฒ๊ฐ ๊ฒ์ฆ์ ์ฑ๊ณตํ ๊ฒ์ผ๋ก ๊ฐ์ฃผํ๊ณ ์ ์ด ๋ฉ์์ง๋ฅผ ์๋ฝํ๋ฉฐ ๋ฃจํธ ๊ถํ์ผ๋ก ๋ช ๋ น์ด ์คํ๋๋๋ก ํ์ฉํ๋ค๋ ๊ฒ์ ๋๋ค. ์์คํ ์์ ์์์ ๋ช ๋ น์ ์คํํ๋ ค๋ฉด ๋ฉ์์ง์์ ํ์ค ExecuteShellCommand_INPUT ๋ช ๋ น์ ์ฌ์ฉํ๋ฉด ์ถฉ๋ถํฉ๋๋ค. ์๋ฅผ ๋ค์ด, "id" ์ ํธ๋ฆฌํฐ๋ฅผ ์์ํ๋ ค๋ฉด ๋ค์๊ณผ ๊ฐ์ด ์์ฒญ์ ๋ณด๋ด๋ฉด ๋ฉ๋๋ค. ์ปฌ -H "Content-Type: application/soap+xml;charset=UTF-8" -k โdata-binary "@http_body.txt" https: //10.0.0.5:5986/wsman ... ID 3
Microsoft๋ ์ด๋ฏธ ์ทจ์ฝ์ ์ ์์ ํ๋ OMI 1.6.8.1 ์ ๋ฐ์ดํธ๋ฅผ ์ถ์ํ์ง๋ง ์์ง Microsoft Azure ์ฌ์ฉ์์๊ฒ ์ ๊ณต๋์ง ์์์ต๋๋ค(OMI์ ์ด์ ๋ฒ์ ์ ์ฌ์ ํ โโ์ ํ๊ฒฝ์ ์ค์น๋์ด ์์). ์๋ ์์ด์ ํธ ์ ๋ฐ์ดํธ๋ ์ง์๋์ง ์์ผ๋ฏ๋ก ์ฌ์ฉ์๋ Debian/Ubuntu์์ "dpkg -l omi" ๋ช ๋ น์ ์ฌ์ฉํ๊ฑฐ๋ Fedora/RHEL์์ "rpm -qa omi" ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ์๋ ํจํค์ง ์ ๋ฐ์ดํธ๋ฅผ ์ํํด์ผ ํฉ๋๋ค. ๋ณด์ ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก ๋คํธ์ํฌ ํฌํธ 5985, 5986 ๋ฐ 1270์ ๋ํ ์ก์ธ์ค๋ฅผ ์ฐจ๋จํ๋ ๊ฒ์ด ์ข์ต๋๋ค.
CVE-2021-38647 ์ธ์๋ OMI 1.6.8.1์ ๊ถํ์ด ์๋ ๋ก์ปฌ ์ฌ์ฉ์๊ฐ ๋ฃจํธ๋ก ์ฝ๋๋ฅผ ์คํํ ์ ์๋๋ก ํ์ฉํ ์ ์๋ ์ธ ๊ฐ์ง ์ทจ์ฝ์ (CVE-2021-38648, CVE-2021-38645 ๋ฐ CVE-2021-38649)๋ ํด๊ฒฐํฉ๋๋ค.
์ถ์ฒ : opennet.ru