Vendor keamanan cloud Wiz—yang baru-baru ini membuat berita dengan menemukan kerentanan besar dalam layanan database yang dikelola CosmosDB Microsoft Azure—telah menemukan lubang lain di Azure.
Kerentanan baru berdampak pada mesin virtual Linux di Azure. Mereka berakhir dengan layanan yang kurang dikenal yang disebut OMI diinstal sebagai produk sampingan dari mengaktifkan salah satu dari beberapa pelaporan logging dan/atau opsi manajemen di UI Azure.
Paling buruk, kerentanan di OMI dapat dimanfaatkan ke dalam eksekusi kode root jarak jauh — meskipun untungnya, firewall Azure on-by-default, di luar-VM akan membatasinya hanya untuk sebagian besar jaringan internal pelanggan.
OMI—kependekan dari Open Management Interface—dimaksudkan untuk berfungsi seperti layanan WMI Microsoft Windows, memungkinkan pengumpulan log dan metrik serta beberapa manajemen jarak jauh.
Bagian dari spesifikasi OMI memerlukan autentikasi untuk mengikat perintah dan permintaan ke ID pengguna (UID) tertentu—namun sayangnya, bug menyebabkan permintaan cacat yang menghilangkan bait otentikasi sepenuhnya untuk diterima seolah-olah diberikan oleh pengguna root itu sendiri.
Ketika dikonfigurasi untuk manajemen jarak jauh, OMI menjalankan server HTTPS pada port 5986, yang dapat dihubungkan dengan klien HTTPS standar seperti curl dan diberi perintah yang dapat dibaca manusia secara wajar dalam protokol SOAP yang diturunkan dari XML. Dalam konfigurasi lain, OMI hanya berjalan pada soket Unix lokal di /var/opt/omi/run/omiserver.sock, yang membatasi eksploitasinya hanya untuk pengguna lokal.
Selengkapnya: Ars Technica