Клиентите на облак платформата Microsoft Azure што користат Linux во виртуелни машини наидоа на критична ранливост (CVE-2021-38647) што овозможува далечинско извршување на код со права на root. Ранливоста беше со кодно име OMIGOD и е забележлива по тоа што проблемот е присутен во апликацијата OMI Agent, која е тивко инсталирана во околини на Linux.
OMI Agent автоматски се инсталира и активира кога користите услуги како Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics и Azure Container Insights. На пример, околините на Linux во Azure за кои е овозможено следење се подложни на напад. Агентот е дел од отворениот пакет OMI (Open Management Infrastructure Agent) со имплементација на стекот DMTF CIM/WBEM за управување со ИТ инфраструктура.
Агентот OMI е инсталиран на системот под корисникот omsagent и создава поставки во /etc/sudoers за да изврши серија скрипти со права на root. За време на работата на некои услуги, мрежни приклучоци за слушање се создаваат на мрежните порти 5985, 5986 и 1270. Скенирањето во услугата Shodan покажува присуство на повеќе од 15 илјади ранливи околини на Linux на мрежата. Во моментов, работен прототип на експлоатот веќе е јавно достапен, што ви овозможува да го извршите вашиот код со права на root на такви системи.
Проблемот се влошува со фактот што употребата на OMI не е експлицитно документирана во Azure и ОМИ агентот е инсталиран без предупредување - само треба да се согласите со условите на избраната услуга при поставување на околината и агентот OMI ќе биде автоматски се активира, т.е. повеќето корисници не се ни свесни за неговото присуство.
Методот на експлоатација е тривијален - само испратете барање за XML до агентот, отстранувајќи го заглавјето одговорно за автентикација. OMI користи автентикација кога прима контролни пораки, потврдувајќи дека клиентот има право да испрати одредена команда. Суштината на ранливоста е дека кога заглавието „Автентикација“, кое е одговорно за автентикација, е отстрането од пораката, серверот смета дека верификацијата е успешна, ја прифаќа контролната порака и дозволува наредбите да се извршуваат со права на root. За извршување на произволни команди во системот, доволно е да се користи стандардната команда ExecuteShellCommand_INPUT во пораката. На пример, за да ја стартувате алатката „id“, само испратете барање: curl -H „Content-Type: application/soap+xml;charset=UTF-8“ -k —data-binary „@http_body.txt“ https: //10.0.0.5. 5986:3/wsman ... id 2003
Мајкрософт веќе го објави ажурирањето OMI 1.6.8.1 кое ја поправа ранливоста, но сè уште не е доставено до корисниците на Microsoft Azure (старата верзија на OMI сè уште е инсталирана во нови средини). Автоматските ажурирања на агентите не се поддржани, така што корисниците мора да извршат рачно ажурирање на пакетот користејќи ги командите „dpkg -l omi“ на Debian/Ubuntu или „rpm -qa omi“ на Fedora/RHEL. Како безбедносно решение, се препорачува да се блокира пристапот до мрежните порти 5985, 5986 и 1270.
Покрај CVE-2021-38647, OMI 1.6.8.1 исто така се справува со три пропусти (CVE-2021-38648, CVE-2021-38645 и CVE-2021-38649) кои би можеле да дозволат непривилегиран локален корисник да изврши код.
Извор: opennet.ru