Wateja wa jukwaa la wingu la Microsoft Azure wanaotumia Linux katika mashine pepe wamekumbana na hatari kubwa (CVE-2021-38647) ambayo inaruhusu utekelezaji wa msimbo wa mbali na haki za mizizi. Athari hii ilipewa jina la msimbo OMIGOD na inajulikana kwa kuwa tatizo lipo katika programu ya Wakala wa OMI, ambayo imewekwa kimya kimya katika mazingira ya Linux.
Wakala wa OMI husakinishwa kiotomatiki na kuwashwa wakati wa kutumia huduma kama vile Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics, na Azure Container Insights. Kwa mfano, mazingira ya Linux katika Azure ambayo ufuatiliaji umewezeshwa unaweza kushambuliwa. Wakala ni sehemu ya kifurushi kilicho wazi cha OMI (Wakala wa Usimamizi wa Miundombinu) na utekelezaji wa DMTF CIM/WBEM rafu kwa usimamizi wa miundombinu ya TEHAMA.
OMI Agent imesakinishwa kwenye mfumo chini ya mtumiaji wa omsagent na huunda mipangilio katika /etc/sudoers ili kuendesha mfululizo wa hati zilizo na haki za mizizi. Wakati wa uendeshaji wa huduma fulani, soketi za mtandao za kusikiliza zinaundwa kwenye bandari za mtandao 5985, 5986 na 1270. Skanning katika huduma ya Shodan inaonyesha kuwepo kwa mazingira magumu zaidi ya elfu 15 ya Linux kwenye mtandao. Kwa sasa, mfano unaofanya kazi wa unyonyaji tayari umepatikana kwa umma, kukuruhusu kutekeleza msimbo wako na haki za mizizi kwenye mifumo kama hiyo.
Shida inazidishwa na ukweli kwamba utumiaji wa OMI haujaandikwa wazi katika Azure na Wakala wa OMI amewekwa bila onyo - unahitaji tu kukubaliana na masharti ya huduma iliyochaguliwa wakati wa kuweka mazingira na Wakala wa OMI atakuwa. imeamilishwa kiatomati, i.e. watumiaji wengi hata hawajui uwepo wake.
Njia ya unyonyaji ni ndogo - tuma tu ombi la XML kwa wakala, ukiondoa kichwa kinachohusika na uthibitishaji. OMI hutumia uthibitishaji wakati wa kupokea ujumbe wa udhibiti, kuthibitisha kwamba mteja ana haki ya kutuma amri fulani. Kiini cha hatari ni kwamba wakati kichwa cha "Uthibitishaji", ambacho kinawajibika kwa uthibitishaji, kinapoondolewa kwenye ujumbe, seva inaona uthibitishaji umefanikiwa, inakubali ujumbe wa udhibiti na inaruhusu amri kutekelezwa na haki za mizizi. Ili kutekeleza amri za kiholela katika mfumo, inatosha kutumia amri ya kawaida ya ExecuteShellCommand_INPUT katika ujumbe. Kwa mfano, ili kuzindua matumizi ya βidβ, tuma tu ombi: curl -H βAina-Yaliyomo: application/soap+xml;charset=UTF-8β -k βdata-binary β@http_body.txtβ https: //10.0.0.5. 5986:3/wsman ... kitambulisho 2003
Microsoft tayari imetoa sasisho la OMI 1.6.8.1 ambalo hurekebisha udhaifu, lakini bado halijawasilishwa kwa watumiaji wa Microsoft Azure (toleo la zamani la OMI bado limewekwa katika mazingira mapya). Masasisho ya kiotomatiki ya wakala hayatumiki, kwa hivyo ni lazima watumiaji wafanye usasishaji wa kifurushi wenyewe kwa kutumia amri "dpkg -l omi" kwenye Debian/Ubuntu au "rpm -qa omi" kwenye Fedora/RHEL. Kama suluhisho la usalama, inashauriwa kuzuia ufikiaji wa bandari za mtandao 5985, 5986, na 1270.
Kando na CVE-2021-38647, OMI 1.6.8.1 pia inashughulikia athari tatu (CVE-2021-38648, CVE-2021-38645, na CVE-2021-38649) ambayo inaweza kuruhusu mtumiaji wa ndani asiye na haki kutekeleza msimbo kama mzizi.
Chanzo: opennet.ru