Microsoft Azure mākoņa platformas klienti, kas virtuālajās mašīnās izmanto Linux, ir saskārušies ar kritisku ievainojamību (CVE-2021-38647), kas ļauj attālināti izpildīt kodu ar root tiesībām. Ievainojamība tika nosaukta ar koda nosaukumu OMIGOD, un tā ir ievērojama ar to, ka problēma ir OMI Agent lietojumprogrammā, kas ir klusi instalēta Linux vidēs.
OMI aģents tiek automātiski instalēts un aktivizēts, izmantojot tādus pakalpojumus kā Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics un Azure Container Insights. Piemēram, Linux vides Azure, kurām ir iespējota uzraudzība, ir pakļautas uzbrukumiem. Aģents ir daļa no atvērtās OMI (Open Management Infrastructure Agent) pakotnes ar IT infrastruktūras pārvaldības DMTF CIM/WBEM steku ieviešanu.
OMI aģents ir instalēts sistēmā zem omsagent lietotāja un izveido iestatījumus mapē /etc/sudoers, lai palaistu virkni skriptu ar root tiesībām. Dažu servisu darbības laikā tīkla pieslēgvietās 5985, 5986 un 1270 tiek izveidotas klausīšanās tīkla ligzdas. Skenēšana Shodan servisā parāda vairāk nekā 15 tūkstošu ievainojamu Linux vidi klātbūtni tīklā. Pašlaik ekspluatācijas prototips jau ir bijis publiski pieejams, ļaujot šādās sistēmās izpildīt savu kodu ar root tiesībām.
Problēmu saasina fakts, ka OMI lietošana Azure nav skaidri dokumentēta un OMI aģents tiek instalēts bez brīdinājuma - iestatot vidi, jums tikai jāpiekrīt izvēlētā pakalpojuma noteikumiem, un OMI aģents tiks automātiski aktivizējas, t.i. lielākā daļa lietotāju pat nezina par tā klātbūtni.
Ekspluatācijas metode ir triviāla — vienkārši nosūtiet aģentam XML pieprasījumu, noņemot par autentifikāciju atbildīgo galveni. Saņemot kontroles ziņojumus, OMI izmanto autentifikāciju, pārbaudot, vai klientam ir tiesības nosūtīt konkrētu komandu. Ievainojamības būtība ir tāda, ka, kad no ziņojuma tiek noņemta galvene “Authentication”, kas ir atbildīga par autentifikāciju, serveris uzskata, ka pārbaude ir veiksmīga, pieņem vadības ziņojumu un ļauj izpildīt komandas ar root tiesībām. Lai sistēmā izpildītu patvaļīgas komandas, ziņojumā pietiek izmantot standarta komandu ExecuteShellCommand_INPUT. Piemēram, lai palaistu utilītu “id”, vienkārši nosūtiet pieprasījumu: curl -H “Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5. 5986:3/wsman ... id 2003
Microsoft jau ir izlaidusi OMI 1.6.8.1 atjauninājumu, kas novērš ievainojamību, taču tas vēl nav piegādāts Microsoft Azure lietotājiem (jaunās vidēs joprojām tiek instalēta vecā OMI versija). Automātiskie aģentu atjauninājumi netiek atbalstīti, tāpēc lietotājiem ir jāveic manuāla pakotnes atjaunināšana, izmantojot komandas "dpkg -l omi" Debian/Ubuntu vai "rpm -qa omi" Fedora/RHEL. Kā drošības risinājums ir ieteicams bloķēt piekļuvi tīkla portiem 5985, 5986 un 1270.
Papildus CVE-2021-38647, OMI 1.6.8.1 novērš arī trīs ievainojamības (CVE-2021-38648, CVE-2021-38645 un CVE-2021-38649), kas var ļaut nepievilinātam lokālajam lietotājam izpildīt kodu kā root.
Avots: opennet.ru