Microsoft Azure의 Linux 환경에 존재하는 OMI 에이전트의 원격 악용 취약점

가상 머신에서 Linux를 사용하는 Microsoft Azure 클라우드 플랫폼 고객은 루트 권한으로 원격 코드 실행을 허용하는 심각한 취약점(CVE-2021-38647)에 직면했습니다. 해당 취약점은 코드명 OMIGOD로 지정되었으며 Linux 환경에 조용히 설치되는 OMI 에이전트 애플리케이션에 문제가 존재한다는 점에서 주목할 만합니다.

OMI 에이전트는 Azure Automation, Azure 자동 업데이트, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics 및 Azure Container Insights와 같은 서비스를 사용할 때 자동으로 설치되고 활성화됩니다. 예를 들어 모니터링이 활성화된 Azure의 Linux 환경은 공격에 취약합니다. 에이전트는 IT 인프라 관리를 위한 DMTF CIM/WBEM 스택이 구현된 개방형 OMI(개방형 관리 인프라 에이전트) 패키지의 일부입니다.

OMI 에이전트는 omsagent 사용자로 시스템에 설치되며 /etc/sudoers에 설정을 생성하여 루트 권한으로 일련의 스크립트를 실행합니다. 일부 서비스가 작동하는 동안 네트워크 포트 5985, 5986 및 1270에 수신 대기 네트워크 소켓이 생성됩니다. Shodan 서비스를 검색한 결과 네트워크에 15개가 넘는 취약한 Linux 환경이 존재하는 것으로 나타났습니다. 현재, 익스플로잇의 작업 프로토타입이 이미 공개되어 있어 해당 시스템에서 루트 권한으로 코드를 실행할 수 있습니다.

OMI 사용이 Azure에 명시적으로 문서화되어 있지 않고 OMI 에이전트가 경고 없이 설치된다는 사실로 인해 문제가 더욱 악화됩니다. 환경을 설정할 때 선택한 서비스의 조건에 동의하기만 하면 OMI 에이전트가 설치됩니다. 자동으로 활성화됩니다. 대부분의 사용자는 그 존재조차 인식하지 못합니다.

악용 방법은 간단합니다. 인증을 담당하는 헤더를 제거하고 에이전트에 XML 요청을 보내기만 하면 됩니다. OMI는 제어 메시지를 받을 때 인증을 사용하여 클라이언트가 특정 명령을 보낼 수 있는 권한이 있는지 확인합니다. 취약점의 본질은 인증을 담당하는 'Authentication' 헤더가 메시지에서 제거되면 서버가 검증에 성공한 것으로 간주하고 제어 메시지를 수락하며 루트 권한으로 명령이 실행되도록 허용한다는 것입니다. 시스템에서 임의의 명령을 실행하려면 메시지에서 표준 ExecuteShellCommand_INPUT 명령을 사용하면 충분합니다. 예를 들어, "id" 유틸리티를 시작하려면 다음과 같이 요청을 보내면 됩니다. 컬 -H "Content-Type: application/soap+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5:5986/wsman ... ID 3

Microsoft는 이미 취약점을 수정하는 OMI 1.6.8.1 업데이트를 출시했지만 아직 Microsoft Azure 사용자에게 제공되지 않았습니다(OMI의 이전 버전은 여전히 ​​새 환경에 설치되어 있음). 자동 에이전트 업데이트는 지원되지 않으므로 사용자는 Debian/Ubuntu에서 "dpkg -l omi" 명령을 사용하거나 Fedora/RHEL에서 "rpm -qa omi" 명령을 사용하여 수동 패키지 업데이트를 수행해야 합니다. 보안 해결 방법으로 네트워크 포트 5985, 5986 및 1270에 대한 액세스를 차단하는 것이 좋습니다.

CVE-2021-38647 외에도 OMI 1.6.8.1은 권한이 없는 로컬 사용자가 루트로 코드를 실행할 수 있도록 허용할 수 있는 세 가지 취약점(CVE-2021-38648, CVE-2021-38645 및 CVE-2021-38649)도 해결합니다.

출처 : opennet.ru