Klanten van het Microsoft Azure-cloudplatform die Linux in virtuele machines gebruiken, zijn een kritieke kwetsbaarheid tegengekomen (CVE-2021-38647) waardoor externe code als root kan worden uitgevoerd. De kwetsbaarheid had de codenaam OMIGOD en valt op door het feit dat het probleem aanwezig is in de OMI Agent-applicatie, die stilletjes wordt geïnstalleerd in Linux-omgevingen.
OMI Agent wordt automatisch geïnstalleerd en geactiveerd bij gebruik van services zoals Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics en Azure Container Insights. Linux-omgevingen in Azure waarvoor monitoring is ingeschakeld, zijn bijvoorbeeld onderhevig aan de aanval. De agent maakt deel uit van het open pakket OMI (Open Management Infrastructure Agent) met de implementatie van de DMTF CIM/WBEM-stack voor IT-infrastructuurbeheer.
De OMI Agent wordt op het systeem geïnstalleerd onder de omsagent-gebruiker en maakt instellingen in /etc/sudoers om een reeks scripts als root uit te voeren. Tijdens de werking van sommige services worden luisterende netwerksockets gemaakt op netwerkpoorten 5985, 5986 en 1270. Scannen in de Shodan-service toont de aanwezigheid van meer dan 15 duizend kwetsbare Linux-omgevingen op het netwerk. Momenteel is er al een werkend prototype van de exploit in het publieke domein geplaatst, waardoor u uw code als root op dergelijke systemen kunt uitvoeren.
Het probleem wordt nog verergerd door het feit dat Azure het gebruik van OMI niet expliciet documenteert en OMI Agent zonder waarschuwing wordt geïnstalleerd - het volstaat om akkoord te gaan met de voorwaarden van de geselecteerde service bij het instellen van de omgeving en OMI Agent wordt automatisch geactiveerd, d.w.z. de meeste gebruikers zijn zich niet eens bewust van de aanwezigheid ervan.
De methode van misbruik is triviaal - het volstaat om een XML-verzoek naar de agent te sturen, waarbij de header wordt verwijderd die verantwoordelijk is voor authenticatie. OMI gebruikt authenticatie bij het ontvangen van besturingsberichten, om te verifiëren dat de client geautoriseerd is om een bepaald commando te verzenden. De essentie van de kwetsbaarheid is dat wanneer de "Authentication"-header die verantwoordelijk is voor authenticatie uit het bericht wordt verwijderd, de server de verificatie als geslaagd beschouwt, het controlebericht accepteert en de uitvoering van opdrachten met rootrechten toestaat. Om willekeurige opdrachten in het systeem uit te voeren, volstaat het om de standaardopdracht ExecuteShellCommand_INPUT in het bericht te gebruiken. Om bijvoorbeeld het hulpprogramma "id" uit te voeren, volstaat het om een verzoek te verzenden: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k --data-binary "@http_body. txt" https://10.0.0.5:5986/wsman … ID kaart 3
Microsoft heeft de OMI 1.6.8.1-update met de oplossing voor de kwetsbaarheid al uitgebracht, maar deze is nog niet naar Microsoft Azure-gebruikers gebracht (in nieuwe omgevingen wordt de oude versie van OMI nog steeds geïnstalleerd). Agent auto-update wordt niet ondersteund, dus gebruikers moeten het pakket handmatig bijwerken met "dpkg -l omi" op Debian/Ubuntu of "rpm -qa omi" op Fedora/RHEL. Als beveiligingsoplossing wordt aanbevolen om de toegang tot netwerkpoorten 5985, 5986 en 1270 te blokkeren.
Naast CVE-2021-38647 repareert OMI 1.6.8.1 ook drie kwetsbaarheden (CVE-2021-38648, CVE-2021-38645 en CVE-2021-38649) waardoor een onbevoegde lokale gebruiker zijn code als root kan uitvoeren .
Bron: opennet.ru