CVE-2021-38647 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Microsoft Azure OMI 存在**授权问题漏洞**（OMIGOD）。<br>🔥 **后果**：攻击者可绕过认证，直接以 **root** 权限执行任意命令（RCE），彻底接管服务器。

🛡️ **根本原因**：**授权绕过**（Authorization Bypass）。<br>🔍 **缺陷点**：OMI 代理未正确验证请求中的 **Authorization** 头部。攻击者只需**省略**该头部即可通过验证。

📦 **受影响组件**：Microsoft **Open Management Infrastructure (OMI)**。<br>📉 **版本范围**：**< omi-1.6.8-1**。<br>☁️ **常见场景**：Azure Linux 服务器（运行 Azure Automation, Log Analytics 等）。

👑 **权限提升**：直接获得 **root** 权限。<br>💾 **数据风险**：完全控制服务器，可读取/修改/删除所有数据，横向移动内网。

⚡ **利用门槛**：**极低**。<br>🔓 **认证要求**：**无需认证**（Unauthenticated）。<br>🌐 **网络要求**：无需用户交互（UI:N），远程网络访问（AV:N）。

🧪 **现成 Exp**：**有**。<br>📂 **资源**：GitHub 上有多个 PoC（如 `omigod.py`），支持 HTTP/HTTPS 端口，可执行 shell 命令或脚本。

🔍 **自查方法**：<br>1. 检查 OMI 版本是否 < 1.6.8-1。<br>2. 使用 Wiz 提供的 **omigood** 扫描器检测 Azure VM。<br>3. 部署 Zeek 包 `corelight/CVE-2021-38647` 检测异常流量。

🩹 **官方修复**：**已发布**。<br>📅 **时间**：2021-09-15 公布。<br>✅ **措施**：升级 OMI 至 **1.6.8-1** 或更高版本。

🚧 **临时规避**：<br>1. 若无补丁，限制 OMI 端口（5985/5986）的**网络访问**。<br>2. 强制要求客户端发送 **Authorization** 头部（但原生 OMI 可能不兼容，建议优先打补丁）。

🔥 **优先级**：**紧急 (Critical)**。<br>📊 **CVSS**：**9.8** (极高)。<br>💡 **建议**：立即扫描并修补所有 Azure Linux 主机，此漏洞在野利用风险极高。