Xerîdarên platforma cloudê ya Microsoft Azure ku Linux-ê di makîneyên virtual de bikar tînin, rûbirûyî xirapbûnek krîtîk (CVE-2021-38647) bûne ku destûrê dide darvekirina kodê ji dûr ve bi mafên root. Zelalbûn bi kodnavê OMIGOD bû û ji ber vê yekê ku pirsgirêk di serîlêdana OMI Agent de heye, ku bi bêdengî li hawîrdorên Linux-ê hatî saz kirin, balkêş e.
Dema ku karûbarên wekî Otomasyona Azure, Nûvekirina Otomatîk Azure, Rêvebiriya Operasyonên Azure Suite, Azure Log Analytics, Rêvebiriya Vesazkirina Azure, Azure Diagnostics, û Azure Container Insights bikar tîne, OMI Agent bixweber tê saz kirin û çalak kirin. Mînakî, hawîrdorên Linux-ê yên li Azure-yê ku çavdêrî ji bo wan tê çalak kirin, ji êrîşê re xeternak in. Nûner beşek ji pakêta vekirî ya OMI (Ajansa Binesaziya Rêvebiriya Vekirî) ye ku bi pêkanîna stûna DMTF CIM/WBEM ji bo rêveberiya binesaziya IT-ê ye.
OMI Agent li ser pergalê di bin bikarhênerê omsagent de tê saz kirin û mîhengan di /etc/sudoers de diafirîne da ku rêzek nivîsarên bi mafên root bimeşîne. Di dema xebitandina hin karûbaran de, soketên torê yên guhdarîkirinê li ser portên torê yên 5985, 5986 û 1270 têne afirandin. Vekolîna di karûbarê Shodan de hebûna zêdetirî 15 hezar hawîrdorên xizan ên Linux li ser torê nîşan dide. Heya nuha, prototîpek xebitandinê ya îstîsmarê jixwe ji raya giştî re peyda bûye, ku dihêle hûn koda xwe bi mafên root li ser pergalên weha bicîh bikin.
Pirsgirêk ji hêla rastiya ku karanîna OMI-ê di Azure de bi eşkere nehatiye belgekirin û OMI Agent bêyî hişyariyê hatî saz kirin zêde dibe - hûn tenê hewce ne ku hûn şertên karûbarê hilbijartî dema ku hawîrdorê saz bikin bipejirînin û Agent OMI dê bibe bixweber aktîfkirin, ango. piraniya bikarhêneran jî ji hebûna wê ne agahdar in.
Rêbaza îstîsmarê hindik e - tenê daxwazek XML ji nûnerê re bişîne, sernavê ku berpirsiyarê erêkirinê ye rake. OMI dema ku peyamên kontrolê werdigire, rastrastkirinê bikar tîne, verast dike ku xerîdar mafê şandina fermanek taybetî heye. Esasê qelsbûnê ev e ku dema ku sernavê "Rarastkirin", ku berpirsiyarê verastkirinê ye, ji peyamê were rakirin, server verastkirinê serketî dihesibîne, peyama kontrolê qebûl dike û destûrê dide ku emrên bi mafên root re bêne darve kirin. Ji bo pêkanîna fermanên keyfî di pergalê de, bes e ku meriv di peyamê de fermana standard ExecuteShellCommand_INPUT bikar bîne. Mînakî, ji bo destpêkirina amûra "id"ê, tenê daxwazek bişîne: curl -H "Cîpa-Naverok: serîlêdan/sabûn+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5. 5986:3/wsman ... id 2003
Microsoft jixwe nûvekirina OMI 1.6.8.1 ya ku qelsiyê rast dike derxistiye, lê ew hîn ji bikarhênerên Microsoft Azure re nehatiye radest kirin (guhertoya kevn a OMI hîn jî di hawîrdorên nû de hatî saz kirin). Nûvekirinên nûnerê otomatîk nayê piştgirî kirin, ji ber vê yekê bikarhêner divê bi karanîna fermanên "dpkg -l omi" li ser Debian/Ubuntu an "rpm -qa omi" li Fedora/RHEL nûvekirinek pakêtê ya bi destan pêk bînin. Wekî çareseriyek ewlehiyê, tê pêşniyar kirin ku gihandina portên torê 5985, 5986, û 1270 asteng bikin.
Ji bilî CVE-2021-38647, OMI 1.6.8.1 di heman demê de sê qelsiyan jî destnîşan dike (CVE-2021-38648, CVE-2021-38645, û CVE-2021-38649) ku dikarin bihêlin bikarhênerek herêmî ya bêdestûr wekî kodek root bicîh bike.
Source: opennet.ru