virtual machines များတွင် Linux ကိုအသုံးပြုထားသော Microsoft Azure cloud ပလပ်ဖောင်း၏ဖောက်သည်များသည် root လုပ်ပိုင်ခွင့်ဖြင့် အဝေးထိန်းကုဒ်လုပ်ဆောင်ခြင်းကို ခွင့်ပြုနိုင်သည့် အရေးကြီးသောအားနည်းချက် (CVE-2021-38647) ကိုကြုံတွေ့ခဲ့ရသည်။ အားနည်းချက်ကို OMIGOD လို့ နာမည်တပ်ထားပြီး Linux ပတ်ဝန်းကျင်မှာ တိတ်တဆိတ် ထည့်သွင်းထားတဲ့ OMI Agent အပလီကေးရှင်းမှာ ပြဿနာရှိနေတာကြောင့် မှတ်သားစရာပါ။
OMI Agent သည် Azure Automation၊ Azure Automatic Update၊ Azure Operations Management Suite၊ Azure Log Analytics၊ Azure Configuration Management၊ Azure Diagnostics နှင့် Azure Container Insights ကဲ့သို့သော ဝန်ဆောင်မှုများကို အသုံးပြုသည့်အခါ အလိုအလျောက် ထည့်သွင်းပြီး အသက်ဝင်လာပါသည်။ ဥပမာအားဖြင့်၊ စောင့်ကြည့်မှုဖွင့်ထားသည့် Azure ရှိ Linux ပတ်ဝန်းကျင်များသည် တိုက်ခိုက်ခံရနိုင်ချေရှိသည်။ အေးဂျင့်သည် အိုင်တီအခြေခံအဆောက်အအုံစီမံခန့်ခွဲမှုအတွက် DMTF CIM/WBEM stack ကို အကောင်အထည်ဖော်ခြင်းဖြင့် ဖွင့်လှစ်ထားသော OMI (Open Management Infrastructure Agent) ပက်ကေ့ခ်ျ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။
OMI Agent ကို omsagent အသုံးပြုသူအောက်ရှိ စနစ်တွင် ထည့်သွင်းထားပြီး root လုပ်ပိုင်ခွင့်ရှိသော scripts စီးရီးများကို run ရန်အတွက် /etc/sudoers တွင် ဆက်တင်များကို ဖန်တီးပေးပါသည်။ ဝန်ဆောင်မှုအချို့၏လုပ်ဆောင်မှုအတွင်း၊ ကွန်ရက်အပေါက် 5985၊ 5986 နှင့် 1270 တွင် နားထောင်ခြင်းကွန်ရက် ပေါက်များကို ဖန်တီးထားသည်။ Shodan ဝန်ဆောင်မှုတွင် စကင်န်ဖတ်ခြင်းသည် ကွန်ရက်ပေါ်တွင် အားနည်းချက်ရှိသော Linux ပတ်ဝန်းကျင်ပေါင်း 15 ကျော် ရှိနေသည်ကို ပြသသည်။ လောလောဆယ်တွင်၊ exploit ၏ ရှေ့ပြေးပုံစံကို လူသိရှင်ကြား ရရှိထားပြီးဖြစ်ပြီး၊ ထိုကဲ့သို့သော စနစ်များတွင် သင်၏ကုဒ်ကို အမြစ်အခွင့်အရေးဖြင့် လုပ်ဆောင်နိုင်စေမည်ဖြစ်သည်။
OMI အသုံးပြုမှုကို Azure တွင် အတိအလင်း မှတ်တမ်းတင်ထားခြင်း မရှိဘဲ OMI Agent ကို သတိပေးခြင်းမရှိဘဲ ထည့်သွင်းထားသည် - ပတ်ဝန်းကျင်ကို စနစ်ထည့်သွင်းသည့်အခါ ရွေးချယ်ထားသော ဝန်ဆောင်မှု၏ စည်းကမ်းချက်များကို သဘောတူရန်သာ လိုအပ်ပြီး OMI Agent သည် ပတ်ဝန်းကျင်ကို စဖွင့်သောအခါတွင် ပြဿနာကို ပိုမိုဆိုးရွားစေပါသည်။ အလိုအလျောက် activated, i.e. သုံးစွဲသူအများစုသည် ၎င်း၏တည်ရှိမှုကိုပင် သတိမပြုမိကြပေ။
အမြတ်ထုတ်ခြင်းနည်းလမ်းသည် အသေးအဖွဲဖြစ်သည် - အထောက်အထားစိစစ်ခြင်းအတွက် တာဝန်ရှိသော ခေါင်းစီးကို ဖယ်ရှားကာ အေးဂျင့်ထံသို့ XML တောင်းဆိုချက်တစ်ခု ပေးပို့လိုက်ရုံပင်။ OMI သည် ထိန်းချုပ်မှုမက်ဆေ့ချ်များကို လက်ခံရရှိသည့်အခါ အထောက်အထားစိစစ်ခြင်းကို အသုံးပြုပြီး သုံးစွဲသူသည် သီးခြား command တစ်ခုကို ပေးပို့ပိုင်ခွင့်ရှိကြောင်း အတည်ပြုသည်။ အားနည်းချက်၏ အနှစ်သာရမှာ အထောက်အထားစိစစ်ခြင်းအတွက် တာဝန်ရှိသည့် “Authentication” ခေါင်းစီးအား မက်ဆေ့ချ်မှ ဖယ်ရှားလိုက်သောအခါ၊ ဆာဗာမှ အတည်ပြုခြင်း အောင်မြင်သည်ဟု ယူဆကာ ထိန်းချုပ်မှု မက်ဆေ့ချ်ကို လက်ခံပြီး ညွှန်ကြားချက်များကို root လုပ်ပိုင်ခွင့်ဖြင့် လုပ်ဆောင်ခွင့်ပြုလိုက်ခြင်း ဖြစ်သည်။ စနစ်အတွင်း မတရားသော အမိန့်များကို လုပ်ဆောင်ရန်၊ မက်ဆေ့ဂျ်တွင် ပုံမှန် ExecuteShellCommand_INPUT အမိန့်ကို အသုံးပြုရန် လုံလောက်ပါသည်။ ဥပမာအားဖြင့်၊ “id” utility ကိုဖွင့်ရန်၊ တောင်းဆိုချက်တစ်ခု ပေးပို့ပါ- curl -H “Content-Type: application/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5. 5986:3/wsman ... id ၀ယ်တယ်။
Microsoft သည် အားနည်းချက်ကို ပြုပြင်ပေးသည့် OMI 1.6.8.1 အပ်ဒိတ်ကို ထုတ်ပြန်ထားပြီးဖြစ်သော်လည်း ၎င်းကို Microsoft Azure အသုံးပြုသူများထံ မပေးပို့ရသေးပါ (OMI ဗားရှင်းဟောင်းကို ပတ်ဝန်းကျင်အသစ်တွင် ထည့်သွင်းထားဆဲဖြစ်သည်)။ အလိုအလျောက် အေးဂျင့်အပ်ဒိတ်များကို ပံ့ပိုးမထားပါ။ ထို့ကြောင့် အသုံးပြုသူများသည် Debian/Ubuntu သို့မဟုတ် Fedora/RHEL ရှိ "rpm -qa omi" တွင် "dpkg -l omi" ညွှန်ကြားချက်များကို အသုံးပြု၍ လူကိုယ်တိုင် ပက်ကေ့ခ်ျအပ်ဒိတ်ကို လုပ်ဆောင်ရပါမည်။ လုံခြုံရေးဖြေရှင်းချက်အနေဖြင့် ကွန်ရက်အပေါက် 5985၊ 5986 နှင့် 1270 သို့ ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ရန် အကြံပြုထားသည်။
CVE-2021-38647 အပြင် OMI 1.6.8.1 သည် အားနည်းချက် သုံးခု (CVE-2021-38648၊ CVE-2021-38645၊ နှင့် CVE-2021-38649) ကို root အနေဖြင့် အခွင့်ထူးမခံသော ဒေသခံအသုံးပြုသူတစ်ဦးအား ကုဒ်အဖြစ် လုပ်ဆောင်ခွင့်ပြုနိုင်သည်။
source: opennet.ru