Microsoft Azure ڪلائوڊ پليٽ فارم گراهڪ ورچوئل مشينن ۾ لينڪس استعمال ڪندي هڪ نازڪ ڪمزوري (CVE-2021-38647) جو سامنا ڪيو آهي جيڪو ريموٽ ڪوڊ جي عمل کي روٽ طور اجازت ڏئي ٿو. خطري جو ڪوڊ نالو OMIGOD هو ۽ ان حقيقت لاءِ قابل ذڪر آهي ته مسئلو OMI ايجنٽ ايپليڪيشن ۾ موجود آهي، جيڪو خاموشيءَ سان لينڪس ماحول ۾ نصب ٿيل آهي.
OMI ايجنٽ خودڪار طريقي سان انسٽال ٿيل ۽ چالو ڪيو ويندو آهي جڏهن خدمتون استعمال ڪندي جهڙوڪ Azure Automation، Azure Automatic Update، Azure Operations Management Suite، Azure Log Analytics، Azure Configuration Management، Azure Diagnostics، ۽ Azure Container Insights. مثال طور، Azure ۾ لينڪس ماحول جنهن جي نگراني کي فعال ڪيو ويو آهي حملي جي تابع آهن. ايجنٽ اوپن پيڪيج OMI (اوپن مينيجمينٽ انفراسٽرڪچر ايجنٽ) جو حصو آهي DMTF CIM/WBEM اسٽيڪ جي نفاذ سان IT انفراسٽرڪچر مينيجمينٽ لاءِ.
OMI ايجنٽ omsagent صارف جي تحت سسٽم تي نصب ٿيل آهي ۽ سيٽنگون ٺاهي ٿو /etc/sudoers ۾ اسڪرپٽ جو سلسلو روٽ طور هلائڻ لاءِ. ڪجھ خدمتن جي آپريشن دوران، نيٽ ورڪ بندرگاهن 5985، 5986 ۽ 1270 تي ٻڌڻ جا نيٽ ورڪ ساکٽ ٺاهيا ويا آهن. شوڊان سروس ۾ اسڪيننگ نيٽ ورڪ تي 15 هزار کان وڌيڪ خطرناڪ لينڪس ماحول جي موجودگي کي ظاهر ڪري ٿو. في الحال، استحصال جو هڪ ڪم ڪندڙ پروٽوٽائپ اڳ ۾ ئي عوامي ڊومين ۾ رکيل آهي، توهان کي توهان جي ڪوڊ کي اهڙي سسٽم تي روٽ طور تي عمل ڪرڻ جي اجازت ڏئي ٿي.
مسئلو ان حقيقت جي ڪري وڌي ويو آهي ته Azure واضح طور تي OMI جي استعمال کي دستاويز نٿو ڪري ۽ OMI ايجنٽ انتباہ کانسواءِ نصب ٿيل آهي - اهو ڪافي آهي ته چونڊيل خدمت جي شرطن سان متفق ٿيڻ لاءِ جڏهن ماحول کي ترتيب ڏيو ۽ OMI ايجنٽ پاڻمرادو چالو ٿي ويندو، يعني اڪثر صارفين ان جي موجودگي کان به واقف نه آهن.
استحصال جو طريقو ننڍڙو آهي - اهو ڪافي آهي ته ايجنٽ کي هڪ XML درخواست موڪلڻ لاء، هٽائڻ جي تصديق لاء ذميوار هيڊر. OMI تصديق استعمال ڪري ٿو جڏهن ڪنٽرول پيغام حاصل ڪري، تصديق ڪري ٿي ته ڪلائنٽ هڪ خاص حڪم موڪلڻ لاء مجاز آهي. خساري جو خلاصو اهو آهي ته جڏهن "تصديق" هيڊر تصديق لاء ذميوار آهي پيغام مان هٽايو ويو آهي، سرور تصديق کي ڪامياب سمجهي ٿو، ڪنٽرول پيغام کي قبول ڪري ٿو ۽ روٽ حقن سان حڪمن تي عمل ڪرڻ جي اجازت ڏئي ٿو. سسٽم ۾ صوابديدي حڪمن تي عمل ڪرڻ لاء، اهو پيغام ۾ معياري ExecuteShellCommand_INPUT حڪم استعمال ڪرڻ ڪافي آهي. مثال طور، ”id“ يوٽيلٽي کي هلائڻ لاءِ، درخواست موڪلڻ لاءِ ڪافي آهي: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k --data-binary "@http_body. txt" https://10.0.0.5. 5986:3/wsman … id 2003
Microsoft اڳ ۾ ئي او ايم آئي 1.6.8.1 اپڊيٽ جاري ڪري چڪو آهي نقصان جي حل سان، پر اهو اڃا تائين Microsoft Azure استعمال ڪندڙن لاءِ نه آندو ويو آهي (نئين ماحول ۾، OMI جو پراڻو ورزن اڃا انسٽال ٿي رهيو آهي). ايجنٽ آٽو-اپڊيٽ سپورٽ نه آهي، تنهن ڪري صارفين کي دستي طور تي پيڪيج کي اپڊيٽ ڪرڻ جي ضرورت آهي "dpkg -l omi" استعمال ڪندي Debian/Ubuntu يا "rpm -qa omi" Fedora/RHEL تي. حفاظتي ڪم جي طور تي، اها سفارش ڪئي وئي آهي ته نيٽ ورڪ بندرگاهن تائين رسائي کي بلاڪ ڪيو وڃي 5985، 5986، ۽ 1270.
CVE-2021-38647 کان علاوه، OMI 1.6.8.1 پڻ ٽن ڪمزورين کي حل ڪري ٿو (CVE-2021-38648، CVE-2021-38645، ۽ CVE-2021-38649) جيڪي هڪ غير مراعات يافته مقامي استعمال ڪندڙ کي اجازت ڏئي سگھن ٿا انهن جي روٽ ڪوڊ جي اڳوڻي .
جو ذريعو: opennet.ru