Cliente vun der Microsoft Azure Cloud Plattform déi Linux a virtuelle Maschinnen benotzt hunn eng kritesch Schwachstelle begéint (CVE-2021-38647) déi d'Remote Code Ausféierung mat Root Rechter erlaabt. D'Schwachheet gouf Codenumm OMIGOD an ass bemierkenswäert fir d'Tatsaach datt de Problem an der OMI Agent Applikatioun präsent ass, déi roueg a Linux Ëmfeld installéiert ass.
OMI Agent gëtt automatesch installéiert an aktivéiert wann Dir Servicer benotzt wéi Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics, an Azure Container Insights. Zum Beispill, Linux Ëmfeld an Azure fir déi d'Iwwerwaachung aktivéiert ass, sinn ufälleg fir Attacken. Den Agent ass Deel vum oppenen OMI (Open Management Infrastructure Agent) Package mat der Ëmsetzung vum DMTF CIM/WBEM Stack fir IT Infrastruktur Gestioun.
OMI Agent gëtt um System ënner dem Omsagent Benotzer installéiert a erstellt Astellungen an /etc/sudoers fir eng Serie vu Scripte mat Rootrechter auszeféieren. Wärend der Operatioun vun e puer Servicer ginn lauschteren Netzwierk Sockets op Netzwierkporten erstallt 5985, 5986 an 1270. Scannen am Shodan Service weist d'Präsenz vu méi wéi 15 Tausend vulnerabel Linux Ëmfeld am Netz. De Moment ass e funktionnéierende Prototyp vum Exploit scho ëffentlech verfügbar, wat Iech erlaabt Äre Code mat Rootrechter op esou Systemer auszeféieren.
De Problem gëtt verschäerft duerch d'Tatsaach datt d'Benotzung vun OMI net explizit an Azure dokumentéiert ass an den OMI Agent ouni Warnung installéiert ass - Dir musst just d'Konditioune vum gewielte Service averstanen wann Dir d'Ëmwelt opstellt an den OMI Agent gëtt automatesch aktivéiert, d.h. déi meescht Benotzer sinn net emol bewosst vu senger Präsenz.
D'Ausbeutungsmethod ass trivial - schéckt just eng XML-Ufro un den Agent, läscht den Header verantwortlech fir d'Authentifikatioun. OMI benotzt Authentifikatioun wann Dir Kontrollmeldungen kritt, a verifizéiert datt de Client d'Recht huet e bestëmmte Kommando ze schécken. D'Essenz vun der Schwachstelle ass datt wann den Header "Authentifizéierung", dee fir d'Authentifikatioun verantwortlech ass, aus der Noriicht geläscht gëtt, betruecht de Server d'Verifizéierung erfollegräich, akzeptéiert d'Kontrollmeldung an erlaabt d'Befehle mat Rootrechter auszeféieren. Fir arbiträr Kommandoen am System auszeféieren, ass et genuch fir de Standard ExecuteShellCommand_INPUT Kommando an der Noriicht ze benotzen. Zum Beispill, fir den "id" Utility ze starten, schéckt just eng Ufro: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5. 5986:3/wsman ... id 2003
Microsoft huet schonn den OMI 1.6.8.1 Update verëffentlecht, deen d'Schwachheet fixéiert, awer et ass nach net un Microsoft Azure Benotzer geliwwert ginn (déi al Versioun vum OMI ass nach ëmmer an neien Ëmfeld installéiert). Automatesch Agentupdates ginn net ënnerstëtzt, sou datt d'Benotzer e manuelle Paketaktualiséierung mussen ausféieren mat de Kommandoen "dpkg -l omi" op Debian/Ubuntu oder "rpm -qa omi" op Fedora/RHEL. Als Sécherheetsléisung ass et recommandéiert Zougang zu Netzwierkporten 5985, 5986 an 1270 ze blockéieren.
Zousätzlech zu CVE-2021-38647, adresséiert OMI 1.6.8.1 och dräi Schwachstelle (CVE-2021-38648, CVE-2021-38645, an CVE-2021-38649) déi en onprivilegéierte lokale Benotzer erlaben de Code als Root auszeféieren.
Source: opennet.ru