Sanal makinelerde Linux kullanan Microsoft Azure bulut platformunun müşterileri, kök haklarıyla uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığıyla (CVE-2021-38647) karşılaştı. Güvenlik açığına OMIGOD kod adı verildi ve sorunun Linux ortamlarına sessizce yüklenen OMI Agent uygulamasında mevcut olması nedeniyle dikkat çekiyor.
OMI Aracısı, Azure Otomasyonu, Azure Otomatik Güncelleştirme, Azure Operations Management Suite, Azure Log Analytics, Azure Yapılandırma Yönetimi, Azure Tanılama ve Azure Container Insights gibi hizmetler kullanıldığında otomatik olarak yüklenir ve etkinleştirilir. Örneğin, Azure'da izlemenin etkinleştirildiği Linux ortamları saldırılara açıktır. Aracı, BT altyapı yönetimi için DMTF CIM/WBEM yığınının uygulanmasıyla birlikte açık OMI (Açık Yönetim Altyapı Aracısı) paketinin bir parçasıdır.
OMI Agent, sisteme omsagent kullanıcısı altında kurulur ve /etc/sudoers dosyasında, kök haklarına sahip bir dizi komut dosyasını çalıştırmak için ayarlar oluşturur. Bazı hizmetlerin çalışması sırasında, 5985, 5986 ve 1270 ağ bağlantı noktalarında dinleme ağ soketleri oluşturulur. Shodan hizmetinde yapılan tarama, ağda 15 binden fazla savunmasız Linux ortamının varlığını gösterir. Şu anda, bu tür sistemlerde kodunuzu kök haklarıyla çalıştırmanıza olanak tanıyan açıktan yararlanmanın çalışan bir prototipi zaten kamuya açık durumda.
Sorun, OMI kullanımının Azure'da açıkça belgelenmemesi ve OMI Aracısının uyarı yapılmadan yüklenmesi nedeniyle daha da kötüleşiyor; yalnızca ortamı ayarlarken seçilen hizmetin şartlarını kabul etmeniz gerekiyor ve OMI Aracısı yüklenecek. otomatik olarak etkinleştirilir, yani çoğu kullanıcı varlığının farkında bile değil.
Yararlanma yöntemi önemsizdir; kimlik doğrulamadan sorumlu başlığı kaldırarak aracıya bir XML isteği göndermeniz yeterlidir. OMI, kontrol mesajlarını alırken kimlik doğrulamayı kullanır ve istemcinin belirli bir komut gönderme hakkına sahip olduğunu doğrular. Güvenlik açığının özü, kimlik doğrulamadan sorumlu olan “Kimlik Doğrulama” başlığı mesajdan kaldırıldığında sunucunun doğrulamayı başarılı sayması, kontrol mesajını kabul etmesi ve komutların kök haklarıyla çalıştırılmasına izin vermesidir. Sistemde isteğe bağlı komutları yürütmek için mesajdaki standart ExecuteShellCommand_INPUT komutunu kullanmak yeterlidir. Örneğin, "id" yardımcı programını başlatmak için bir istek göndermeniz yeterlidir: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k —data-binary "@http_body.txt" https: //10.0.0.5:5986/wsman ... İD 3
Microsoft, güvenlik açığını gideren OMI 1.6.8.1 güncellemesini zaten yayımladı ancak henüz Microsoft Azure kullanıcılarına sunulmadı (OMI'nin eski sürümü hala yeni ortamlarda yüklü). Otomatik aracı güncellemeleri desteklenmediğinden kullanıcıların Debian/Ubuntu'da "dpkg -l omi" veya Fedora/RHEL'de "rpm -qa omi" komutlarını kullanarak manuel paket güncellemesi yapması gerekir. Bir güvenlik çözümü olarak 5985, 5986 ve 1270 numaralı ağ bağlantı noktalarına erişimin engellenmesi önerilir.
OMI 2021, CVE-38647-1.6.8.1'ye ek olarak ayrıcalığı olmayan bir yerel kullanıcının kök olarak kod yürütmesine izin verebilecek üç güvenlik açığını da (CVE-2021-38648, CVE-2021-38645 ve CVE-2021-38649) giderir.
Kaynak: opennet.ru