Microsoft випустила оновлення OMI 1.6.8.1 з усуненням вразливості хмарної платформи Microsoft Azure
Microsoft випустила оновлення OMI 1.6.8.1 з усуненням вразливості в хмарній платформі Microsoft Azure
Клієнти Microsoft Azure, які використовують Linux у віртуальних машинах , зіткнулися з критичною вразливістю (CVE-2021-38647), яка дозволяє віддалено запускати код з правами root. Вразливість отримала кодову назву OMIGOD і примітна тим, що проблема присутня в додатку OMI Agent, яке встановлюється без зайвої публічності в середовищах Linux.
Агент OMI автоматично встановлюється та активується, коли ви використовуєте такі служби, як Автоматизація Azure, Автоматичне оновлення Azure, Пакет керування операціями Azure, Azure Log Analytics, Керування конфігурацією Azure, Діагностика Azure та Azure Container Insights. Наприклад, впливають середовища Linux в Azure, які контролюються . Агент є частиною відкритого пакету OMI (Open Management Infrastructure Agent) з реалізацією стека DMTF CIM / WBEM для управління ІТ-інфраструктурою.
Агент OMI встановлюється в системі як користувач omsagent і створює налаштування в /etc/sudoers для запуску серії скриптів з правами root. Деякі служби створюють мережеві сокети для прослуховування на мережевих портах 5985, 5986 і 1270. Сканування в сервісі Shodan показує наявність в мережі понад 15 тисяч вразливих середовищ Linux. В даний час робочий прототип експлойту вже поміщений у відкритий доступ, що дозволяє виконати свій код з root-правами на таких системах.
Проблема посилюється тим, що Azure явно не документує використання OMI і агент OMI встановлюється без попередження - досить погодитися з умовами обраної служби при налаштуванні середовища і агент OMI буде автоматично активований, тобто більшість користувачів навіть не підозрюють про його наявність.
Спосіб роботи банальний - досить відправити XML-запит агенту, прибравши заголовок, що відповідає за аутентифікацію. OMI використовує аутентифікацію при отриманні контрольних повідомлень, перевіряючи, що клієнт має право відправити ту чи іншу команду. Суть вразливості полягає в тому, що при видаленні в повідомленні заголовка «Аутентифікація», відповідального за аутентифікацію, сервер вважає перевірку успішною, приймає керуюче повідомлення і допускає виконання команд з root-правами. Для виконання довільних команд в системі досить використовувати звичайну команду в повідомленні ExecuteShellCommand_INPUT
Microsoft випустила оновлення до OMI 1.6.8.1 з виправленням вразливості, але користувачам Microsoft Azure воно поки не доведено (в нових середовищах стара версія OMI як і раніше встановлюється ). Автообновлення агента не підтримується, тому користувачам необхідно вручну оновити пакет за допомогою команд "dpkg -i" в Debian/Ubuntu або "rpm -Uvh" у Fedora/RHEL (перевірити, чи встановлений пакет командами "dpkg -l omi" і "rpm -qa omi"). Щоб вирішити цю проблему, рекомендовано заблокувати доступ до мережних портів 5985, 5986 і 1270.
На додаток до CVE-2021-38647, OMI 1.6.8.1 також розглядає три вразливості (CVE-2021-38648, CVE-2021-38645 та CVE-2021-38649), які дозволяють непривілейованому локальному користувачеві запускати свій код як корінь.