Virtual mashinalarda Linuxdan foydalanadigan Microsoft Azure bulutli platformasi mijozlari kodni ildiz sifatida masofadan turib bajarishga imkon beruvchi muhim zaiflikka (CVE-2021-38647) duch kelishdi. Zaiflik OMIGOD kod nomini oldi va muammo Linux muhitida jimgina o'rnatilgan OMI Agent ilovasida mavjudligi bilan ajralib turadi.
OMI agenti Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics va Azure Container Insights kabi xizmatlardan foydalanganda avtomatik ravishda o‘rnatiladi va faollashtiriladi. Misol uchun, Azure'da monitoring yoqilgan Linux muhitlari hujumga duchor bo'ladi. Agent IT infratuzilmasini boshqarish uchun DMTF CIM/WBEM stekini amalga oshirish bilan OMI (Ochiq boshqaruv infratuzilmasi agenti) ochiq paketining bir qismidir.
OMI agenti tizimda omsagent foydalanuvchisi ostida o'rnatiladi va root sifatida bir qator skriptlarni ishga tushirish uchun /etc/sudoers da sozlamalarni yaratadi. Ayrim xizmatlarning ishlashi davomida 5985, 5986 va 1270-tarmoq portlarida tinglovchi tarmoq rozetkalari yaratiladi. Shodan xizmatida skanerlash tarmoqda 15 mingdan ortiq zaif Linux muhitlari mavjudligini ko'rsatadi. Hozirgi vaqtda ekspluatatsiyaning ishlaydigan prototipi allaqachon jamoat mulkiga joylashtirilgan, bu sizning kodingizni bunday tizimlarda root sifatida bajarishga imkon beradi.
Muammo Azure-da OMI-dan foydalanishni aniq hujjatlashtirmaganligi va OMI Agent ogohlantirishsiz o'rnatilganligi bilan yanada og'irlashadi - atrof-muhitni sozlashda tanlangan xizmat shartlariga rozi bo'lish kifoya va OMI Agent avtomatik ravishda faollashadi, ya'ni ko'pchilik foydalanuvchilar hatto uning mavjudligini bilishmaydi.
Ekspluatatsiya usuli ahamiyatsiz - autentifikatsiya uchun mas'ul bo'lgan sarlavhani olib tashlagan holda, agentga XML so'rovini yuborish kifoya. OMI nazorat xabarlarini qabul qilishda autentifikatsiyadan foydalanadi, mijoz ma'lum bir buyruqni yuborish huquqiga ega ekanligini tasdiqlaydi. Zaiflikning mohiyati shundan iboratki, autentifikatsiya uchun mas'ul bo'lgan "Autentifikatsiya" sarlavhasi xabardan o'chirilganda, server tekshiruvni muvaffaqiyatli deb hisoblaydi, boshqaruv xabarini qabul qiladi va ildiz huquqlari bilan buyruqlarni bajarishga ruxsat beradi. Tizimda ixtiyoriy buyruqlarni bajarish uchun xabarda standart ExecuteShellCommand_INPUT buyrug'idan foydalanish kifoya. Masalan, "id" yordam dasturini ishga tushirish uchun so'rov yuborish kifoya: curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k --data-binary "@http_body. txt" https://10.0.0.5. 5986:3/wsman … id 2003
Microsoft allaqachon zaiflikni tuzatish bilan OMI 1.6.8.1 yangilanishini chiqargan, biroq u hali Microsoft Azure foydalanuvchilariga yetkazilmagan (yangi muhitlarda OMI ning eski versiyasi hali ham o'rnatilmoqda). Agentni avtomatik yangilash qo‘llab-quvvatlanmaydi, shuning uchun foydalanuvchilar paketni Debian/Ubuntu’da “dpkg -l omi” yoki Fedora/RHEL’da “rpm -qa omi” yordamida qo‘lda yangilashlari kerak. Xavfsizlik yechimi sifatida 5985, 5986 va 1270 tarmoq portlariga kirishni bloklash tavsiya etiladi.
CVE-2021-38647 bilan bir qatorda, OMI 1.6.8.1 imtiyozsiz mahalliy foydalanuvchiga o'z kodini root sifatida ishga tushirishga imkon beradigan uchta zaiflikni (CVE-2021-38648, CVE-2021-38645 va CVE-2021-38649) tuzatadi. .
Manba: opennet.ru