د مایکروسافټ Azure کلاوډ پلیټ فارم پیرودونکي په مجازی ماشینونو کې لینکس کاروي د جدي زیان سره مخ شوي (CVE-2021-38647) چې د ریښو حقونو سره د ریموټ کوډ اجرا کولو ته اجازه ورکوي. زیانمننې ته د OMIGOD کوډ نوم ورکړل شوی او د دې حقیقت لپاره د پام وړ دی چې ستونزه د OMI اجنټ غوښتنلیک کې شتون لري ، کوم چې په خاموشۍ سره د لینکس چاپیریال کې نصب شوی.
د OMI اجنټ په اوتومات ډول نصب او فعال کیږي کله چې خدمات کاروي لکه Azure Automation، Azure Automatic Update، Azure Operations Management Suite، Azure Log Analytics، Azure Configuration Management، Azure Diagnostics، او Azure Container Insights. د مثال په توګه، په Azure کې د لینکس چاپیریالونه چې د څارنې وړ دي د برید لپاره حساس دي. اجنټ د IT د زیربنا مدیریت لپاره د DMTF CIM/WBEM سټیک پلي کولو سره د خلاص OMI (د خلاص مدیریت زیربنا اجنټ) کڅوړې برخه ده.
د OMI اجنټ په سیسټم کې د omsagent کارونکي لاندې نصب شوی او په /etc/sudoers کې تنظیمات رامینځته کوي ترڅو د ریښو حقونو سره د سکریپټونو لړۍ پرمخ بوځي. د ځینو خدماتو د عملیاتو په جریان کې، د اوریدلو شبکې ساکټونه د شبکې په بندرونو 5985، 5986 او 1270 کې رامینځته کیږي. د شوډان خدمت کې سکین کول په شبکه کې د 15 زرو څخه ډیر زیان منونکي لینکس چاپیریال شتون ښیي. اوس مهال، د استحصال یو کاري پروټوټایپ لا دمخه په عامه توګه شتون لري، تاسو ته اجازه درکوي چې خپل کوډ په داسې سیسټمونو کې د ریښو حقونو سره اجرا کړئ.
ستونزه د دې حقیقت له امله زیاته شوې چې د OMI کارول په واضح ډول په Azure کې مستند شوي ندي او د OMI اجنټ پرته له خبرتیا نصب شوی - تاسو اړتیا لرئ د چاپیریال تنظیم کولو پرمهال د ټاکل شوي خدماتو شرایطو سره موافق اوسئ او د OMI اجنټ به وي. په اتوماتيک ډول فعال شوی، د مثال په توګه ډیری کارونکي حتی د دې شتون څخه خبر ندي.
د استخراج طریقه کوچنۍ ده - یوازې اجنټ ته د XML غوښتنه واستوئ، د تصدیق لپاره مسؤل سرلیک لرې کړئ. OMI تصدیق کاروي کله چې د کنټرول پیغامونه ترلاسه کوي، دا تاییدوي چې پیرودونکی د ځانګړي قوماندې لیږلو حق لري. د زیان مننې جوهر دا دی چې کله د "تصدیق" سرلیک، کوم چې د تصدیق کولو مسولیت لري، له پیغام څخه لیرې کیږي، سرور تاییدوي بریالي ګڼي، د کنټرول پیغام مني او امرونو ته اجازه ورکوي چې د ریښې حقونو سره اجرا شي. په سیسټم کې د خپل سري حکمونو اجرا کولو لپاره ، دا په پیغام کې د معیاري ExecuteShellCommand_INPUT کمانډ کارولو لپاره کافي دي. د مثال په توګه، د "id" افادیت پیلولو لپاره، یوازې یوه غوښتنه واستوئ: curl -H "د منځپانګې ډول: application/soap+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5. 5986:3/wsman ... id 2003
مایکروسافټ لا دمخه د OMI 1.6.8.1 تازه خپور کړی چې زیان منونکي حل کوي ، مګر دا لاهم د مایکروسافټ Azure کاروونکو ته ندي سپارل شوي (د OMI زوړ نسخه لاهم په نوي چاپیریال کې نصب شوې ده). د اتوماتیک اجنټ تازه معلومات نه ملاتړ کیږي، نو کاروونکي باید په Debian/Ubuntu کې "dpkg -l omi" یا په Fedora/RHEL کې "rpm -qa omi" کمانډونو په کارولو سره د لاسي کڅوړې تازه معلومات ترسره کړي. د امنیتي حل په توګه، دا سپارښتنه کیږي چې د شبکې بندرونو 5985، 5986، او 1270 ته لاسرسی بند کړي.
د CVE-2021-38647 سربیره، OMI 1.6.8.1 درې زیانمننې هم په ګوته کوي (CVE-2021-38648، CVE-2021-38645، او CVE-2021-38649) چې کولی شي یو غیرمستقیم ځایی کارونکي ته د پخواني روټ کوډ په توګه اجازه ورکړي.
سرچینه: opennet.ru