اعلن اليوم معمل Wiz الامني (للاسف من الاراضي المحتلة) عن كشف ثغره امنيه في الاجهزه الوهميه التي تستخدم لينكس على سحابة Azure من مايكروسوفت.
الثغره تحت أسم OMIGOD
من المتؤثر ؟
اي احد يستخدم لينكس على خدمة Azure السحابية مع هذه الخدمات والتي هي تستخدم OMI:
- Azure Automation
- Azure Automatic Update
- Azure Operations Management Suite (OMS)
- Azure Log Analytics
- Azure Configuration Management
- Azure Diagnostics
ماهو OMI
كلمة OMI هي اختصار ل Open Management Infrastructure
وهو مستخدم لتحديث الاعدادات والخيارات ولتجميع المعلومات في انظمة لينكس.
والخدمة مثبته تلقائيا بدون ما تعرف اذا فعلت احد الميزات المذكورة مسبقا, والعديد من عملاء azure لا يعرفون ان الخدمه موجودة ولديها صلاحيات كاملة للنظام.
والخدمة تستخدم مدخل 5986 مع بروتوكول HTTPs وهو مكشوفة فقط في حاله تفعيل التحكم عن بعد, غير ذلك الخدمة محليه فقط عبر unix socket في /var/opt/omi/run/omiserver.sock وتحد الثغرة الى المستخدمين المحليين.
ما الثغرة ؟
لما تقدم طلب لخدمه OMI فيجب عليك وضع معلومات توثيق حتى تحدد الخدمه الامر سيتم تنفيذه من اي مستخدم في النظام(UID).
لكن في حاله ارسال امر بدون وضع معلومات توثيق, الخدمه ستنفذ الامر كroot!! وبما ان المدخل يستخدم بروتوكول HTTPs فبامكانك ارسال الامر عبر اي برنامج يدعم البروتوكل مثل CURL و استخدام صيغة SOAP لارسال الاوامر بسهوله!
واختراق جهاز وهمي واحد كافي لاختراق بقية الاجهزه اذا كانت تستخدم اصدار OMI قديم يحتوي على نفس الثغرة.
كيف اتجنبها؟
قم بتحديث خدمة OMI يدويا
هنا شرح مايكروسوفت حول تفاصيل الثغره وكيفية التحديث:
الاصدار المحمي هو : 1.6.8.1
توقيف كشف OMI للشبكة.
في حالة كانت خدمة OMI مكشوفه للشبكة عبر اي من هذه المداخل 5985, 5986, 1270 فقم بتوقيف كشفها لتجنب ثغرة RCE (CVE-2021-38647)