අථත්ය යන්ත්රවල Linux භාවිතා කරන Microsoft Azure වලාකුළු වේදිකාවේ පාරිභෝගිකයින්ට මූල අයිතිවාසිකම් සමඟ දුරස්ථ කේත ක්රියාත්මක කිරීමට ඉඩ සලසන තීරණාත්මක අවදානමකට (CVE-2021-38647) මුහුණ දී ඇත. මෙම අවදානම OMIGOD යන සංකේත නාමයෙන් නම් කර ඇති අතර ලිනක්ස් පරිසරවල නිහඬව ස්ථාපනය කර ඇති OMI නියෝජිත යෙදුමේ ගැටලුව තිබීම කැපී පෙනේ.
Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics, සහ Azure Container Insights වැනි සේවාවන් භාවිතා කරන විට OMI Agent ස්වයංක්රීයව ස්ථාපනය කර සක්රිය වේ. උදාහරණයක් ලෙස, අධීක්ෂණය සක්රීය කර ඇති Azure හි Linux පරිසරයන් ප්රහාරයට ගොදුරු වේ. නියෝජිතයා තොරතුරු තාක්ෂණ යටිතල පහසුකම් කළමනාකරණය සඳහා DMTF CIM/WBEM තොගය ක්රියාත්මක කිරීමත් සමඟ විවෘත OMI (විවෘත කළමනාකරණ යටිතල පහසුකම් නියෝජිත) පැකේජයේ කොටසකි.
OMI Agent omsagent පරිශීලකයා යටතේ පද්ධතිය මත ස්ථාපනය කර ඇති අතර මූල හිමිකම් සහිත ස්ක්රිප්ට් මාලාවක් ධාවනය කිරීමට /etc/sudoers හි සිටුවම් සාදයි. සමහර සේවාවන් ක්රියාත්මක වන විට, 5985, 5986 සහ 1270 ජාල වරායන් මත සවන්දීමේ ජාල සොකට් නිර්මාණය වේ. ෂෝඩාන් සේවාවෙහි ස්කෑන් කිරීම මඟින් ජාලයේ අවදානමට ලක්විය හැකි ලිනක්ස් පරිසරයන් 15 කට වඩා පවතින බව පෙන්වයි. දැනට, සූරාකෑමේ ක්රියාකාරී මූලාකෘතියක් දැනටමත් ප්රසිද්ධියේ ලබා ගත හැකි අතර, එවැනි පද්ධතිවල මූල අයිතිවාසිකම් සමඟ ඔබේ කේතය ක්රියාත්මක කිරීමට ඔබට ඉඩ සලසයි.
OMI භාවිතය Azure හි පැහැදිලිව ලේඛනගත නොවීම සහ OMI නියෝජිතයා අනතුරු ඇඟවීමකින් තොරව ස්ථාපනය කර තිබීම නිසා ගැටළුව උග්ර වේ - පරිසරය සැකසීමේදී ඔබ තෝරාගත් සේවාවේ නියමයන්ට එකඟ විය යුතු අතර OMI නියෝජිතයා වනු ඇත. ස්වයංක්රීයව සක්රිය, i.e. බොහෝ පරිශීලකයින් එහි පැවැත්ම ගැන පවා නොදනී.
සූරාකෑමේ ක්රමය සුළුපටු නොවේ - සත්යාපනය සඳහා වගකිව යුතු ශීර්ෂකය ඉවත් කරමින් නියෝජිතයාට XML ඉල්ලීමක් යවන්න. OMI පාලන පණිවිඩ ලැබීමේදී සත්යාපනය භාවිතා කරයි, විශේෂිත විධානයක් යැවීමට සේවාදායකයාට අයිතියක් ඇති බව තහවුරු කරයි. අවදානමේ සාරය නම්, සත්යාපනය සඳහා වගකිව යුතු “සත්යාපනය” ශීර්ෂය පණිවිඩයෙන් ඉවත් කළ විට, සේවාදායකය සත්යාපනය සාර්ථක යැයි සලකන අතර, පාලන පණිවිඩය පිළිගන්නා අතර මූල අයිතිවාසිකම් සමඟ විධාන ක්රියාත්මක කිරීමට ඉඩ සලසයි. පද්ධතිය තුළ අත්තනෝමතික විධාන ක්රියාත්මක කිරීම සඳහා, පණිවිඩයේ සම්මත ExecuteShellCommand_INPUT විධානය භාවිතා කිරීම ප්රමාණවත් වේ. උදාහරණයක් ලෙස, “id” උපයෝගීතාව දියත් කිරීමට, හුදෙක් ඉල්ලීමක් යවන්න: curl -H “අන්තර්ගත වර්ගය: යෙදුම/soap+xml;charset=UTF-8” -k —data-binary “@http_body.txt” https: //10.0.0.5. 5986:3/wsman ... id 2003
මයික්රොසොෆ්ට් දැනටමත් OMI 1.6.8.1 යාවත්කාලීනය නිකුත් කර ඇති අතර එය අවදානම නිවැරදි කරයි, නමුත් එය තවමත් Microsoft Azure පරිශීලකයින් වෙත ලබා දී නොමැත (OMI හි පැරණි අනුවාදය තවමත් නව පරිසරයක ස්ථාපනය කර ඇත). ස්වයංක්රීය නියෝජිත යාවත්කාල කිරීම් සඳහා සහය නොදක්වයි, එබැවින් පරිශීලකයන් විසින් Debian/Ubuntu මත "dpkg -l omi" හෝ Fedora/RHEL හි "rpm -qa omi" විධාන භාවිතා කර අතින් පැකේජ යාවත්කාලීන කිරීමක් සිදු කළ යුතුය. ආරක්ෂක පියවරක් ලෙස, 5985, 5986 සහ 1270 ජාල වරායන් වෙත ප්රවේශය අවහිර කිරීම නිර්දේශ කරනු ලැබේ.
CVE-2021-38647 ට අමතරව, OMI 1.6.8.1 විසින් වරප්රසාද නොලත් දේශීය පරිශීලකයෙකුට root ලෙස ඉවත් කිරීමට ඉඩ සලසන අවදානම් තුනක් (CVE-2021-38648, CVE-2021-38645, සහ CVE-2021-38649) ආමන්ත්රණය කරයි.
මූලාශ්රය: opennet.ru