Microsoft Azure Linux वातावरणमा लगाइएको OMI एजेन्टमा टाढाबाट शोषण गरिएको जोखिम

भर्चुअल मेसिनहरूमा लिनक्स प्रयोग गर्ने Microsoft Azure क्लाउड प्लेटफर्मका ग्राहकहरूले एक महत्वपूर्ण जोखिम (CVE-2021-38647) सामना गरेका छन् जसले रूट अधिकारहरूसँग रिमोट कोड कार्यान्वयन गर्न अनुमति दिन्छ। जोखिमलाई OMIGOD कोड नाम दिइएको थियो र यो समस्या OMI एजेन्ट अनुप्रयोगमा रहेको तथ्यको लागि उल्लेखनीय छ, जुन चुपचाप लिनक्स वातावरणमा स्थापना गरिएको छ।

Azure Automation, Azure Automatic Update, Azure अपरेसन म्यानेजमेन्ट सुइट, Azure Log Analytics, Azure कन्फिगरेसन म्यानेजमेन्ट, Azure डायग्नोस्टिक्स, र Azure कन्टेनर इनसाइटहरू जस्ता सेवाहरू प्रयोग गर्दा OMI एजेन्ट स्वतः स्थापना र सक्रिय हुन्छ। उदाहरणका लागि, Azure मा लिनक्स वातावरण जसको लागि निगरानी सक्षम गरिएको छ आक्रमणको लागि संवेदनशील छन्। एजेन्ट IT पूर्वाधार व्यवस्थापनको लागि DMTF CIM/WBEM स्ट्याकको कार्यान्वयनको साथ खुला OMI (ओपन म्यानेजमेन्ट इन्फ्रास्ट्रक्चर एजेन्ट) प्याकेजको अंश हो।

OMI एजेन्ट omsagent प्रयोगकर्ता अन्तर्गत प्रणालीमा स्थापना गरिएको छ र रूट अधिकारहरूसँग लिपिहरूको श्रृंखला चलाउन /etc/sudoers मा सेटिङहरू सिर्जना गर्दछ। केही सेवाहरूको सञ्चालनको क्रममा, नेटवर्क पोर्टहरू 5985, 5986 र 1270 मा सुन्ने नेटवर्क सकेटहरू सिर्जना गरिन्छन्। Shodan सेवामा स्क्यान गर्दा नेटवर्कमा 15 हजार भन्दा बढी कमजोर लिनक्स वातावरणहरूको उपस्थिति देखाउँछ। हाल, शोषणको काम गर्ने प्रोटोटाइप पहिले नै सार्वजनिक रूपमा उपलब्ध छ, तपाईंलाई त्यस्ता प्रणालीहरूमा रूट अधिकारहरूसँग आफ्नो कोड कार्यान्वयन गर्न अनुमति दिँदै।

समस्या अझ बढेको छ कि OMI को प्रयोग Azure मा स्पष्ट रूपमा दस्तावेज गरिएको छैन र OMI एजेन्ट चेतावनी बिना स्थापना गरिएको छ - तपाईंले वातावरण सेटअप गर्दा चयन गरिएको सेवाका सर्तहरूमा सहमत हुन आवश्यक छ र OMI एजेन्ट हुनेछ। स्वचालित रूपमा सक्रिय, अर्थात् धेरै प्रयोगकर्ताहरू यसको उपस्थिति बारे सचेत पनि छैनन्।

शोषण विधि मामूली छ - प्रमाणीकरणको लागि जिम्मेवार हेडर हटाएर एजेन्टलाई केवल XML अनुरोध पठाउनुहोस्। OMI ले नियन्त्रण सन्देशहरू प्राप्त गर्दा प्रमाणीकरण प्रयोग गर्दछ, ग्राहकसँग विशेष आदेश पठाउने अधिकार छ भनी प्रमाणित गर्दै। भेद्यताको सार यो हो कि जब "प्रमाणीकरण" हेडर, जुन प्रमाणीकरणको लागि जिम्मेवार छ, सन्देशबाट हटाइन्छ, सर्भरले प्रमाणिकरणलाई सफल मान्दछ, नियन्त्रण सन्देश स्वीकार गर्दछ र आदेशहरू रूट अधिकारहरूसँग कार्यान्वयन गर्न अनुमति दिन्छ। प्रणालीमा स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्न, सन्देशमा मानक ExecuteShellCommand_INPUT आदेश प्रयोग गर्न पर्याप्त छ। उदाहरण को लागी, "आईडी" उपयोगिता सुरु गर्न, केवल एक अनुरोध पठाउनुहोस्: curl -H "सामग्री-प्रकार: application/soap+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5. 5986:3/wsman ... आईडी ०

माइक्रोसफ्टले पहिले नै OMI 1.6.8.1 अपडेट जारी गरिसकेको छ जसले जोखिमलाई फिक्स गर्दछ, तर यो अझै Microsoft Azure प्रयोगकर्ताहरूलाई डेलिभर गरिएको छैन (OMI को पुरानो संस्करण अझै नयाँ वातावरणमा स्थापित छ)। स्वचालित एजेन्ट अद्यावधिकहरू समर्थित छैनन्, त्यसैले प्रयोगकर्ताहरूले Debian/Ubuntu मा "dpkg -l omi" वा Fedora/RHEL मा "rpm -qa omi" आदेशहरू प्रयोग गरेर म्यानुअल प्याकेज अद्यावधिक गर्नुपर्दछ। सुरक्षा उपायको रूपमा, नेटवर्क पोर्टहरू 5985, 5986, र 1270 मा पहुँच रोक्न सिफारिस गरिन्छ।

CVE-2021-38647 को अतिरिक्त, OMI 1.6.8.1 ले तीनवटा कमजोरीहरूलाई पनि सम्बोधन गर्दछ (CVE-2021-38648, CVE-2021-38645, र CVE-2021-38649) जसले एक विशेषाधिकार नभएको स्थानीय प्रयोगकर्तालाई पूर्व कोड रूटको रूपमा अनुमति दिन सक्छ।

स्रोत: opennet.ru