The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываемом в Linux-окружениях Microsoft Azure

17.09.2021 09:57

Клиенты облачной платформы Microsoft Azure, использующие Linux в виртуальных машинах, столкнулись с критической уязвимостью (CVE-2021-38647), позволяющей удалённо выполнить код с правами root. Уязвимость получила кодовое имя OMIGOD и примечательна тем, что проблема присутствует в приложении OMI Agent, которое без лишней огласки устанавливается в Linux-окружениях.

OMI Agent автоматически устанавливается и активируется при использовании таких сервисов, как Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics и Azure Container Insights. Например, атаке подвержены Linux-окружения в Azure для которых включён мониторинг. Агент является частью открытого пакета OMI (Open Management Infrastructure Agent) с реализацией стека DMTF CIM/WBEM для управления IT-инфраструктурой.

OMI Agent устанавливается в системе под пользователем omsagent и создаёт настройки в /etc/sudoers для запуска серии скриптов с правами root. В процессе работы некоторых сервисов создаются слушающие сетевые сокеты на сетевых портах 5985, 5986 и 1270. Сканирование в сервисе Shodan показывает наличие в сети более 15 тысяч уязвимых Linux-окружений. В настоящее время в открытом доступе уже размещён рабочий прототип эксплоита, позволяющий выполнить свой код с правами root на подобных системах.

Проблема усугубляется тем, что в Azure явно не документировано применение OMI и OMI Agent устанавливается без предупреждения - достаточно согласиться с условиями выбранного сервиса при настройке окружения и OMI Agent будет автоматически активирован, т.е. большинство пользователей даже не подозревают о его наличии.

Метод эксплуатации тривиален - достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root. Для выполнения произвольных команд в системе достаточно использовать в сообщении штатную команду ExecuteShellCommand_INPUT. Например, для запуска утилиты "id" достаточно отправить запрос:


   curl -H "Content-Type: application/soap+xml;charset=UTF-8" -k --data-binary "@http_body.txt" https://10.0.0.5:5986/wsman

   <s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing">
      ...
      <s:Body>
         <p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
            <p:command>id</p:command>
            <p:timeout>0</p:timeout>
         </p:ExecuteShellCommand_INPUT>
      </s:Body>
   </s:Envelope>

Компания Microsoft уже выпустила обновление OMI 1.6.8.1 с устранением уязвимости, но оно ещё не доведено до пользователей Microsoft Azure (в новых окружениях пока устанавливается старая версия OMI). Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручную, используя команды "dpkg -i" в Debian/Ubuntu или "rpm -Uvh" в Fedora/RHEL (проверить, установлен ли пакет можно командами "dpkg -l omi" и "rpm -qa omi"). В качестве обходного пути защиты рекомендуется блокировать доступ к сетевым портам 5985, 5986 и 1270.

Кроме CVE-2021-38647 в OMI 1.6.8.1 также устранены три уязвимости (CVE-2021-38648, CVE-2021-38645 и CVE-2021-38649), позволяющие непривилегированному локальному пользователю выполнить свой код с правами root.

  1. Главная ссылка к новости (https://twitter.com/gossithedo...)
  2. OpenNews: Компания Microsoft опубликовала обновление Linux-дистрибутива CBL-Mariner
  3. OpenNews: Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности
  4. OpenNews: Атаковавшие SolarWinds смогли получить доступ к коду Microsoft (дополняется)
  5. OpenNews: Компания Microsoft представила многоплатформенный стек управления OMI с открытой реализацией стандартов DMTF CIM/WBEM
  6. OpenNews: Подготовленный в Microsoft deb-пакет с Open R принудительно заменяет /bin/sh на bash
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/55813-omi
Ключевые слова: omi, azure
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (93) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, banan (??), 10:23, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +28 +/
    Невообразимо детский косяк вкупе с принудиловом.
    Если и это ничему ажуроводов не научит (спойлер: должно научить не пользоваться azure и иже с ним) - то я даже не знаю.
     
     
  • 2.7, kissmyass (?), 10:33, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +11 +/
    дебилы должны страдать, пусть пользуются, за счет таких покемонов мы получили net core под линуху, и даже mono начала импортировать исходники оттуда
     
  • 2.39, Жироватт (ok), 12:38, 17/09/2021 Скрыто модератором
  • +3 +/
     
     
  • 3.45, Timoteo Cirkla (ok), 12:54, 17/09/2021 Скрыто модератором
  • +4 +/
     
     
  • 4.56, пох. (?), 13:28, 17/09/2021 Скрыто модератором
  • –1 +/
     
     
  • 5.67, Аноним (67), 16:27, 17/09/2021 Скрыто модератором
  • +1 +/
     
  • 2.78, лютый жабби__ (?), 20:25, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Если и это ничему ажуроводов не научит

    ажуроводы все распильщики, их не научит, ибо им пофиг.

    у маздаев за программно выключенные виртуалки надо платить, если не скажешь дополнительную команду типа shutdown. а за диски будешь платить в любом случае. ещё и минимальный размер системного диска гиг 50 (или 30) был. для линя, который 1-2 весит! а скорость SSD зависит не от дисков, а от стоимости VM. чтобы как в хетцнере был vps за 3 бакса с 5000 iops? хаха, не, получи 100 ) а на HDD 50....

    азуре это дорогой беспонт, кто им пользуется, отбит на голову...

     
  • 2.104, Аноним (104), 22:25, 20/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А разве кто-то добровольно пользуется azure? С их космическими ценами, дороже чем в AWS и Google вместе взятыми?
     

  • 1.2, beduin747 (ok), 10:24, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +25 +/
    Лишнее доказательство того, что MS близко к линуху подпускать нельзя.
     
     
  • 2.4, iPony129412 (?), 10:28, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Если там критерием оценивать, кого нельзя к линуксам подпускать, то думаю, что будет пустое поле.
     
     
  • 3.5, Отпетый Виндузятник (?), 10:31, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    в точку, поня, но местным (с красными глазами) адептам сабжа такое лучше в лоб не говорить, ибо ребята обидчивые до крайности
     
     
  • 4.12, Аноним (12), 10:40, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    один ты в белом пальто стоишь красивый?
     
     
  • 5.13, Аноним (13), 10:48, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, их там двое.
     
  • 5.19, Аноним (19), 11:08, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты хотел быть третьим?
     
     
  • 6.81, нах.. (?), 21:23, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, посмотрел на них, и прошел мимо.
     
  • 2.61, Админ Анонимов (?), 14:11, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    там просто не хватает трудно отменяемых авто обновлений и правильного антивируса
     

  • 1.3, InuYasha (??), 10:25, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > но оно ещё не доведено до пользователей Microsoft Azure

    да... у них же, вроде, принято обновления выкатывать по четвергам, что-ли

    > Автообновление агента не поддерживается

    обычно это как раз хорошо, имхо. А то без ведома багов насуют... как npm какой-нибудь.

     
     
  • 2.15, Fluttershy (?), 10:59, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так они уже этот OMI засунули, че терять-то
     

  • 1.6, lockywolf (ok), 10:33, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    У кого-нибудь готовый эксплоит есть? Хочу помайнить битка на целом огромном облачном провайдере, но возиться с деталями уязвимости лениво.
     
     
  • 2.11, Аноним (19), 10:39, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Новость почитай если ты там ничего не нашел тебе не надо.
     
     
  • 3.16, васян (?), 11:01, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Я запустил то что в новости - оно сперва повисло на пять минут, а потом наплевало мне в консоль какие-то ашипка про команда не команда.

    А где же эксплойт?

     
  • 2.73, ИмяХ (?), 18:20, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Там уже майнят все, кому не лень.
     

  • 1.8, Аноним (8), 10:34, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    > Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root.

    В Microsoft работают профессионалы своего дела. Просто их профессия не компьютерная безопасность.

     
     
  • 2.31, Аноним12345 (?), 12:16, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    там работают индусы
     
     
  • 3.42, OpenEcho (?), 12:40, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    О, белая кость подтянулась...
    Ну, куда им до тебя с твоим более известным и популярным БольшеСовтом!
     

  • 1.9, Аноним (9), 10:36, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ммм, вкусна
     
  • 1.10, Аноним (19), 10:38, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ажур итак создает для каждой новой виртуалки нетворк секурити групп в которой только несколько портов открыты типа ssh http/https все остальные порты надо руками открывать.
     
     
  • 2.14, пох. (?), 10:57, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Судя по тому что Shodan их нашло - ЭТУ часть работы бангалорский коллектив msовских подрядчиков выполнил не на от...сь, и при установке OMI, эти самые порты открываются автоматически (логично, как ms должна получать туда доступ)

    Хотя, конечно, всегда остается вероятность, что эти пятнадцать тыщ - имени васянов, скопипастивших с серверфолта нужную и полезную инструкцию установки чего-то, написанного на безопастных язычках, начинающуюся с пункта "отключаем нахрен всю нетворк секьюрить - мы так и не научились разрешать в ней наш единственный порт".

     
     
  • 3.18, Аноним (19), 11:06, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Они доступны внутри ажура внутри виртуальной сети. По крайней мере я доступ снаружи получить не могу. Если его явно не открыть.  

    Единственный вектор если у тебя есть ограниченный доступ до дев окружения и ты решил загадить прод к которому у тебя нет доступа, например своему работадателю/закзчику. Например через CI, но тут уже работодатель может против тебя применить социнженерию)

     
     
  • 4.20, пох. (?), 11:13, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Они доступны внутри ажура внутри виртуальной сети.

    а как туда automation попадет? Он же не внутри твоей сети, он где-то на своих виртуалках ms крутится.

    > Если его явно не открыть.

    ну вон те 15 тыщ лошар - справились с задачей.
    Кстати, действительно, немного их, в тех масштабах. У остальных либо не получилось открыть, либо пожадничали заплатить за сервис.

     
     
  • 5.23, Аноним (19), 11:25, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У Ажура много разных севрисов, помимо простых виртуалок как у всех. Есть например ML, который тоже что-то создает но что там по умолчанию открыто а что закрыто  не понятно. Или у того же кубера, если кто руками поднимал, может быть затык и все работает только когда все порты открыты. Да много сочетанию можно придумать. Но например в самой простом сетапе виртуалки и база созданные по умолчанию все относительно секурно выглядит снаружи. Но обновится конечно же не помешает.  
     
  • 2.33, InuYasha (??), 12:27, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ажур

    Азура! Трибунала на вас нет...

     
     
  • 3.58, Аноним (19), 13:54, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нажми на динамик для озвучки https://translate.google.com/?sl=auto&tl=en&text=azure&op=translate
     
     
  • 4.77, InuYasha (??), 20:13, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Нажми на динамик для озвучки https://translate.google.com/?sl=auto&tl=en&text=azure&op=translate

    Нажми на чувство юмора https://en.uesp.net/wiki/Lore:Azura
    https://en.uesp.net/wiki/Tribunal:Tribunal

     
  • 3.103, Тёмное братство (?), 11:46, 20/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем же под трибунал?
     

  • 1.17, Рева RarogCmex Денис (?), 11:02, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Название уязвимости OMIGOD --созвучное с Oh my god! -- убило меня наповал
     
     
  • 2.41, Аноним (41), 12:39, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.urbandictionary.com/define.php?term=omigod
     

  • 1.21, Аноним (21), 11:16, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Проблема усугубляется тем, что в Azure явно не документировано применение OMI и OMI Agent устанавливается без предупреждения

    Только не рассказывайте им про ssm агента в aws, а то у нас там вся инфра хостится)

     
     
  • 2.26, Sw00p aka Jerom (?), 11:31, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    выпилить к чертям
     

  • 1.22, Аноним (22), 11:24, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну чтож, M$ по своему рукоjobству даже свои сервисы с линуксами умудрились сделать дырявыми.
    Вот только, случайно ли?!
     
     
  • 2.25, Аноним (19), 11:27, 17/09/2021 Скрыто модератором
  • +/
     
     
  • 3.27, пох. (?), 11:54, 17/09/2021 Скрыто модератором
  • –1 +/
     
  • 3.47, Аноним (-), 12:57, 17/09/2021 Скрыто модератором
  • +1 +/
     

     ....ответы скрыты модератором (3)

  • 1.24, eugener (ok), 11:26, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > выполнить обновление пакета вручную, используя команды "dpkg -l omi"

    -l же просто выводит список пакетов по шаблону?

     
     
  • 2.28, пох. (?), 11:56, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    а rpm -qa как думаешь, что делает? ;-)

    Ну не умеет мсовский индус в пакеты. Его в секьюрити тим по просьбе брата взяли - а вчера еще глину месил.


     
     
  • 3.30, Михрютка (ok), 12:03, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да нет, индус как раз не ошибся

    deepakjain111 released this Sep 8, 2021

    Installation examples:
    Ubuntu 16.04, x64:
    sudo dpkg -i ./omi-1.6.8-1.ssl_100.ulinux.x64.deb

    Red Hat Enterprise Linux, Oracle Linux, or CentOS 6/7, x64:
    sudo rpm -Uvh ./omi-1.6.8-1.ssl_100.ulinux.x64.rpm

    видимо, испорченный телефон сработал

     
     
  • 4.35, пох. (?), 12:29, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мож, поправился уже? Он же тоже умеет пользоваться поиском по серверфолту.

    > видимо, испорченный телефон сработал

    ненене - -i/-l могло быть опечаткой, но с rpm это выстрел в упор из эскопеты с загнутым по кругу стволом - такое никакой опечаткой не объяснишь.

    Это явные следы поиска бингом "эквивалент dpkg -l в rpm". И нашел что искал ;-)

     
     
  • 5.40, Михрютка (ok), 12:39, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    хех

    как ни странно это оказались авторы эксплоета :)

    https://github.com/horizon3ai/CVE-2021-38647

    Mitigations

    Update and ensure the OMI agent is at version 1.6.8.1.

        For Debian systems (e.g., Ubuntu): dpkg -l omi
        For Redhat based system (e.g., Fedora, CentOS, RHEL): rpm -qa omi

    видимо все же имели в виду, как проверить версию пакета.

    остальные пали жертвой копипаста

     
  • 3.44, Михрютка (ok), 12:52, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не, в секьюрити по просьбе брата, по-моему, вот эту взяли

    https://twitter.com/GossiTheDog/status/1437898118310268930/photo/1

     
     
  • 4.48, пох. (?), 13:00, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ЭТО взяли по квоте для lgbtq и альтернативно-одаренных (сразу две вакансии заполнили). Жаль Макс не осилил это запилить вместо новости.

    Видосик ему пришлите, как хакать. А то без видосика оно не могетъ.

    А ведь наезжали на ms что они не френдли и вообще квот не соблюдают...

     
     
  • 5.49, Михрютка (ok), 13:05, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Видосик ему пришлите, как хакать. А то без видосика оно не могетъ.

    может, у них там в Индии обычаи такие, откуда я знаю.

    нашел LPE - спой и станцуй об этом на камеру, видео зашли в секьюрити тим.

     
  • 2.29, Михрютка (ok), 11:59, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    как и rpm -qa

    это надмакс видимо что-то напутал, возможно, имелось в виду - проверить, установлен ли пакет.

     

  • 1.32, Аноним (32), 12:21, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Всем бэкдорам бэкдор!
    МС король бэкдоров.
     
  • 1.34, Diozan (ok), 12:28, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Девиз Майкрософт: "Перенесём все свои баги в Линукс"
     
  • 1.36, Аноним (36), 12:33, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Майкрософт теперь поглотит линукс и будет только BSD
     
     
  • 2.51, Аноним (-), 13:07, 17/09/2021 Скрыто модератором
  • +1 +/
     
  • 2.69, Аноним (67), 16:34, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так она и уже - полулинукс, но не такой как линукс. Посмотри на:
    - linuxulator
    - epoll-shim
    - дрова видева и войфая.

    БЗД без линукса не останется, ведь на реальном железе как-то работать надо.

     
     
  • 3.84, Аноним (-), 22:25, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так она и уже - полулинукс, но не такой как линукс. Посмотри на:
    > - epoll-shim

    "Small epoll implementation using kqueue" - вай, беда - враппер
    > - linuxulator
    > HISTORY
    >     Linux ABI support first appeared in FreeBSD 2.1

    Главное, не смотреть на wine в <куча линуксдистров на выбор>

     
  • 2.74, Аноним (74), 18:57, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    и illumos.
     

  • 1.37, Жироватт (ok), 12:35, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ребята, ребята, РЕБЯ-Я-Я-ЯТЫ!
    Я знаю, что нужно зделоть!
    Нужно во все эти окружения срочно установить микрософт сесурити эссентиалз, кловунд протектион от касперского и линуксовского дохтырь веба!
     
  • 1.38, Аноним (38), 12:37, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    И вот никаких бы проблем с велосипедами MS бы не было, если бы Linux поддерживал... большой текст свёрнут, показать
     
     
  • 2.43, Жироватт (ok), 12:50, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все вы такие крутые на опеннете. Да, и ты тоже. Вот только простые вопросы до сих пор без ответа.

    - Почему нет до сих пор нативной реализации в ядре или околоядерном софте, хотя проблема (с точки зрения девляпса) давно назрели и надо её срочно-срочно вилкой решать?
    - Почему сообщество не хочет пилить забесплатно девляпсам NIH-аналог WMI забесплатно?
    - Почему редхат, интел и иже с ними не хотят пилить забесплатно девляпсам NIH-аналог WMI забесплатно, удовлетворяясь декларативными конфигами?
    - Почему ни один девляпс так и не поднял свою попу от стула и не сделал свой WMI, сБиШ, кой по их заверениям оторвут с руками и ногами все?
    - Почему ты пишешь это тут, а не в рассылке перед Торвальдсом, девляпс?

     
     
  • 3.55, пох. (?), 13:24, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Почему нет до сих пор нативной реализации в ядре или околоядерном софте

    бть, ну зачем ты им подсказываешь?! Так - проблема только в системах на ms'овском хостинге, причем в специальной сложной позе и надо еще постараться ручками поотключать все дополнительные защиты.

    А вляпают такой бэкдор в системду и еще небольшой интерфейсик со стороны ведра - во-первых, ну чтоб тебе не надо было помнить про исключить порты в файрволе мы все-все-все сделаем за тебя, во-вторых это же просто хорошо и правильно, когда система не загружается потому что у тебя недостаточно модная версия systemd! (Наоборот-то уже было, неинтересно.)
    Надо ведь заставлять луддитов выкидывать устаревшее г-но и обмазываться свеженьким!

    Ты бы хоть не забыл посоветовать непременно на безопастном хрусте разработать - тогда еще угроза была бы минимальна.

     
  • 3.57, Аноним (38), 13:54, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что в корпоративном сегменте, где всё это нужно есть решения от Red Hat, ... большой текст свёрнут, показать
     
  • 2.62, Михрютка (ok), 14:22, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>И вот никаких бы проблем с велосипедами MS бы не было, если бы Linux поддерживал стандарты DMTF на уровне ОС!

    потому что иди нафиг со своими пегасусами и сублимами в ведре, вот почему.

     
     
  • 3.68, iPony129412 (?), 16:28, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > со своими пегасусами

    Это что такое? 🤨

     
     
  • 4.70, Михрютка (ok), 16:48, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это такая мишпуха, чтобы завести wbem под линуксом
     
  • 2.80, Михрютка (ok), 21:06, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Иронично, что именно MS
    > своими дырявыми костылями решает одну из самых главных проблем unix-like операционных
    > систем - невменяемое конфигурирование, пока уга-буги прыгают с бубном и призывают
    > венде-капец.

    Спасибо, очень хорошо обьяснили, товарищ.

    Теперь я знаю, что есть вменяемое конфигурирование

    Это развернуть втихаря, "ночью, без предупреждения" дырявый агент,

    а когда кал ударил в вентилятор, объяснить пользователям

    https://msrc-blog.microsoft.com/2021/09/16/additional-guidance-regarding-omi-v

    >>>Customers must update vulnerable extensions for their Cloud and On-Premises deployments as the updates become available

    вместо того, чтоб втихаря, поджав хвост, быренько подтереть там, где облажались.

    Очень вмэняэмо, очень правосла^W энтерпрайзно.

    Желаю защитникам такого вменяемого конфигурирования долгой, но плохой жизни.


     
     
  • 3.94, Аноним (38), 21:07, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Таблеток прими Это то же самое что ныть, когда у тебя ssh предустановили и сдел... большой текст свёрнут, показать
     
     
  • 4.97, Михрютка (ok), 10:22, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    товарищ, не напрягайтесь.

    мы уже поняли, что из себя представляет вменяемое конфигурирование

    это

    а) без ведома клиента установить в клиентскую vm дырявый пакет с rce и lpe
    б) спустя три с половиной месяца после того, как стало известно, что в пакете дыры, не суметь откатить или обновить этот пакет, вместо этого свалив эту обязанность на клиента.

    > Ты реально такая уга-буга

    ок зумер

     
     
  • 5.101, Аноним (38), 14:01, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы это кто 3 5 михрютки, которые нужны для того чтобы конфиг править через текс... большой текст свёрнут, показать
     
     
  • 6.102, Михрютка (ok), 15:19, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да ты хоть и весь в кал изойди со своими шинами. По факту все эти шины и апи конфигурирования за три с половиной месяца не смогли выконфигурировать дырявый пакет из системы.

    До тебя это доходит, анон? Или ты опять начнешь наяривать про соап и рест, теоретик?

     
  • 2.105, Наме (?), 12:42, 23/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    WBEM это решение с очень крутой кривой освоения. Уже только поэтому оно не способно решать те проблемы, для решения которых задумано. Банально неосилянты, а таких абсолютное доминирующее большинство, начнут лепить очередные баши/перлы/питоны, перекидываться эксимелями и ясончиком и опять нарастят опухоль, которая станет больше организма и начнёт сама жить своей жизнью, объявив себя настоящим единственным организмом. Это закон любых больших коллективов.
     

  • 1.50, Аноним (50), 13:06, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Белогривые лошадки...
     
  • 1.52, Аноним (52), 13:15, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    rm -rf /* будет у буратин...
     
  • 1.53, Аноним (53), 13:17, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это выбор каждого употреблять с лопаты или как-то самому обходится.
    Соглашаясь быть подопечным - соглашаешся на шалости и хотелки опекуна.
     
  • 1.60, Массоны Рептилоиды (?), 14:01, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручную

    Ну как, поддерживается же:

    python3 omigod.py -t 10.0.0.5 -c "apt -y install omi; yum -y update omi"

     
     
  • 2.63, PnD (??), 14:26, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Микрософт не научился репозитории поддерживать. (Насколько я смог почитать буквы в новости.)
    Поэтому сценарий "починки" будет чуть сложнее.
     
     
  • 3.87, СеменСеменыч777 (?), 23:30, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Микрософт не научился репозитории поддерживать

    ???

    https://packages.microsoft.com/

     
     
  • 4.90, А (??), 01:09, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но использовать их для обновления M$ не научился.

    Хотя... У них системы задуманы для другого.

     

  • 1.64, ыы (?), 14:27, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручную,

    Я микрософт вирус..  мои разработчики настолько бедны что ... пожалуйста, поставьте меня себе сами...

     
  • 1.72, Аноним (72), 17:35, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root.

    Не баг а фича.

    Явно зделано умышленно.

    А что с M$ вы хотели?

     
  • 1.75, YetAnotherOnanym (ok), 19:03, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root

    Microsoft way.

     
     
  • 2.85, Михрютка (ok), 22:26, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root
    > Microsoft way.

    зато не

    >>>велосипедное вонючее RESTfull API

     
     
  • 3.89, А (??), 01:06, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зато дыра шедевральная.
     

  • 1.76, mikhailnov (ok), 20:00, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А слушать порты на локальной петле не достаточно было бы?
     
  • 1.83, Тот самый (?), 22:15, 17/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной

    Это шедевр!

     
  • 1.88, А (??), 01:05, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поржал.

    M$ - это быстро, некачествено, за деньги.

     
     
  • 2.91, Аноним (91), 01:54, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> это быстро

    Чего там быстрого?
    Если только быстро копируют все как обезьяны с остальных и пристраиваются к чужим инициативам.

     

  • 1.92, СеменСеменыч777 (?), 09:32, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    левые агенты - всегда потенциальная дыра.
    всяких там заббиксов тоже касается.
    а уж если за дело берется майкрософт ...
     
  • 1.95, Аноним (95), 05:01, 19/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "..agent" Собственно, дальше можно не читать. Через висящую в процессах приблуду можно хоть Армагеддон организовать. Невыносимо-отвратительный проприетарный метод.
     
  • 1.96, Аноним (96), 08:23, 19/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Понятное дело, что когда Linux начинают использовать более 1%, то специалисты по безопасности начинают обращать внимание на Linux и находят там такие дыры. Linux -- он как Неуловимый Джо. В нём не находят дыр безопасности лишь по той причине, что он никому не нужен. Вот его стала использовать популярная корпорация, подтянулись безопастники и сразу нашли в Linux'е уязвимость. Всё правильно. Всегда так происходит.
     
     
  • 2.106, Аноним (-), 13:36, 11/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Девайсов с линуксом выпускается в три-пять раз больше чем людей на земле. Каждый год ! Процент, еслиб..
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру